Cuộc tấn công này làm dấy lên câu hỏi về khả năng bảo mật của blockchain Ronin, nền tảng cho của tựa game Axie Infinity.
Lượng tiền mã hóa khổng lồ trị giá gần 625 triệu USD vừa bị hacker lấy trộm khỏi Ronin, chuỗi blockchain nền tảng cho tựa game mã hóa đình đám Axie Infinity. Tối qua, Sky Mavis, hãng vận hành blockchain Ronin và tựa game Axie Infinity đã công bố về lỗ hổng này và đóng băng các giao dịch, bao gồm gửi và rút tiền thông qua blockchain này.
Sky Mavis cho biết họ đang làm việc với các cơ quan pháp luật nhằm thu hồi 173.600 ETH (hiện tương đương 600 triệu USD) và 25,5 triệu USDC (stablecoin ngang giá 1 USD). Toàn bộ lượng tiền mã hóa này đã bị hacker lấy trộm và rút ra khỏi mạng lưới vào ngày 23 tháng Ba vừa qua – một tuần trước đây.
Theo Sky Mavis, hacker đã sử dụng các khóa bảo vệ riêng tư đã bị hack để xâm phạm các node xác thực giao dịch trong mạng lưới blockchain. Điều đó cho phép hacker âm thầm rút một lượng lớn ETH và USDC ra khỏi mạng lưới mà không ai biết. Đó là một phần lý do vì sao gần một tuần sau khi vụ việc này xảy ra, sự việc mới bị phát hiện khi một người dùng nào đó cố gắng rút 5.000 ETH thông qua cầu nối Ronin.
Tuy nhiên, Sky Mavis cho biết các token NFT Axie mà người chơi phải mua để truy cập được vào Axie Infinity lại không bị ảnh hưởng bởi cuộc tấn công này. Bên cạnh đó, các tiền mã hóa SLP và AXS được sử dụng cho việc chiến đấu và chăn nuôi các nhân vật hoạt hình trong game cũng không bị ảnh hưởng. Nhưng việc đóng băng giao dịch cũng làm người chơi không thể nạp và rút tiền ra khỏi trò chơi này.
Ngoài ra ảnh hưởng lớn nhất từ cuộc tấn công này là đặt ra nghi vấn về khả năng bảo mật của blockchain Ronin. Cũng như nhiều blockchain dạng proof-of-stake khác, Ronin sử dụng các node xác thực, vốn ít tiêu tốn năng lượng hơn các blockchain dạng proof-of-concept như Bitcoin và Ethereum. Các node này sẽ đảm nhiệm việc xem xét giao dịch để xác thực các dữ kiện ra vào mạng lưới và chữ ký ủy quyền, cũng như từ chối các giao dịch không phù hợp.
Việc sử dụng ít node hơn, giúp blockchain này chạy nhanh hơn và hiệu quả năng lượng hơn – nhưng vụ tấn công này cho thấy nó cũng tiềm ẩn rủi ro bảo mật nếu một lượng đáng kể các node bị xâm phạm để rút tiền trái phép ra khỏi hệ thống mà không ai biết.
Theo Sky Mavis, cuộc tấn công vào blockchain Ronin một phần vì vào tháng 11 năm ngoái, công ty đã tạo ra một lối tắt để giảm nhẹ “tải công việc từ lượng người dùng khổng lồ” trên mạng lưới của mình – nhiều tháng sau khi tựa game này tăng trưởng bùng nổ ở Philippines và nhiều quốc gia khác khi người chơi tìm đến nó như một công việc toàn thời gian.
Hệ thống đã bị ngừng hoạt động vào tháng 12, nhưng các hoạt động được cấp phép trên nó lại không bị thu hồi. Ngoài việc xâm phạm 4 node do Sky Mavis sở hữu, hacker còn khai thác chúng để lấy quyền truy cập vào một node của Axie DAO do cộng đồng sở hữu. Sau khi xâm phạm 5 trong số 9 node xác thực, hacker có thể ghi đè bất kỳ giao dịch nào và rút bất kỳ khoản tiền nào chúng muốn.
Tham khảo The Verge