Buzz
Vụ hack blockchain Ronin trị giá 625 triệu đô la chỉ ra sự cần thiết của bảo mật tốt hơn trong thế giới Web3
Trong một trong những vụ vi phạm lớn nhất trong lịch sử DeFi, nhóm hacker đã đánh cắp hơn 600 triệu đô la token Ethereum và USDC từ blockchain Ronin liên quan đến trò chơi phổ biến Axie Infinity.
Cả hai thực thể đều thuộc hệ sinh thái Web3 đang phát triển, được định nghĩa bởi các yếu tố phi tập trung và tiền điện tử số. Việc chúng có thể bị xâm phạm nhấn mạnh sự cần thiết của việc tập trung vào bảo mật trong thế giới lôi cuốn của Web3.
Chúng ta sẽ xem xét chi tiết về vụ hack và cách công ty đang giảm nhẹ thiệt hại. Nhưng trước hết, một giới thiệu ngắn về trò chơi và blockchain Ronin.
TNW Conference 2024 - Mời tất cả các Startup tham gia vào ngày 20-21 tháng 6
Trình diễn startup của bạn trước các nhà đầu tư, những người thay đổi và khách hàng tiềm năng với các gói Startup được chọn lọc của chúng tôi.
Thế nào là Axie Infinity?
Trò chơi Axie Infinity là một trò chơi kiếm tiền bằng cách chơi, trong đó người chơi phải tạo và sưu tập nhân vật dựa trên NFT, giống như những con quái vật hoạt hình như Pokémon. Họ có thể kiếm được token trong game thông qua việc lai tạo, chiến đấu và xây dựng đội quân của họ với những con quái vật được gọi là Axies.
Sky Mavis, công ty Việt Nam quản lý trò chơi, đã huy động 152 triệu đô la — đưa giá trị định giá lên 3 tỷ đô la — năm ngoái từ các nhà đầu tư như a16z, sàn giao dịch tiền điện tử FTX và Samsung Next.
Axie Infinity has some cute characters.Trò chơi rất phổ biến ở Philippines, nơi có báo cáo về người chơi kiếm sống từ nó, trong khi những người hâm mộ giàu có của trò chơi đầu tư vào những người chơi này.
Vào tháng 2, nó vượt qua mốc 4 tỷ đô la trong doanh số bán NFT suốt đời.
Và Ronin là gì?
Ronin là một side-chain (một blockchain tương thích với Ethereum) cho phép giao dịch nhanh hơn và rẻ hơn so với blockchain chính cho người chơi Axie Infinity.
Các giao dịch trong trò chơi dựa trên Ethereum. Nhưng việc thực hiện nhiều giao dịch mỗi ngày rất đắt đỏ do phí cao liên quan đến ETH.
Để giải quyết vấn đề đó, nhà phát triển Axie Infinity đã phát hành Ronin vào tháng 2 năm 2021 — một chuỗi dựa trên Ethereum cho phép 100 giao dịch miễn phí mỗi ngày.
Điều này đã dẫn đến sự phát triển đột phá, và cộng đồng game đã phát triển đến 2,9 triệu người dùng vào cuối năm 2021.
Còn về vụ vi phạm đó?
Theo trang Substack chính thức của Ronin, kẻ tấn công đã có thể hút chảy 173,600 ether và 25.5 triệu USDC — trị giá hơn 625 triệu đô la theo giá thị trường hiện tại — qua hai giao dịch.
Để hoàn tất một giao dịch trên chuỗi Ronin, bạn cần sự chấp thuận từ các nút kiểm tra xác nhận. Chuỗi Ronin có chín nút kiểm tra xác nhận tổng cộng, và bạn cần một chữ ký từ ít nhất năm trong số chúng để giao dịch được thực hiện.
Kẻ tấn công đã sử dụng một lỗ hổng để kiểm soát bốn nút kiểm tra xác nhận Sky Mavis và một nút kiểm tra xác nhận Axie DAO, thực hiện hai giao dịch.
Vụ tấn công diễn ra vào ngày 23 tháng 3, nhưng mạng lưới chỉ biết về nó sau sáu ngày vào thứ Ba, khi một người dùng cố gắng và thất bại trong việc rút 5,000 ETH từ mạng lưới.
Tác động và bước tiếp theo
Hiện nay, cầu nối Ronin đã bị đóng băng đối với các giao dịch và sẽ mở lại vào "một ngày sau" sau khi công ty đã đảm bảo không thể rút thêm quỹ. Công ty cho biết, "Tất cả AXS, RON và SLP [các token trong game] trên Ronin đều an toàn vào lúc này."
Sky Mavis cũng đang hợp tác với các chuyên gia mật mã học pháp lý, cơ quan chức năng và các cơ quan an ninh như Chainalysis để khôi phục quỹ. Nó đang cố gắng đảm bảo không có tiền của người dùng nào bị mất trong quá trình này.
The price of the Ronin token has plunged by over 18% in the last 24 hours.Để tăng cường bảo mật và ngăn chặn các vụ hack như thế này, công ty đã tăng ngưỡng bắt buộc cho giao dịch từ năm nút kiểm tra xác nhận lên tám nút kiểm tra xác nhận.
"Chúng tôi biết rằng sự tin tưởng cần phải được kiếm đượ và chúng tôi đang sử dụng mọi nguồn lực có sẵn để triển khai các biện pháp bảo mật và quy trình phức tạp nhất để ngăn chặn các cuộc tấn công trong tương lai," công ty tuyên bố.
Vụ hack này làm nổi bật sự cần thiết phải nâng cao bảo mật cho các dự án dựa trên tiền điện tử.
Nhiều dự án này tự hào về việc họ có thể trở thành nền tảng để mọi người vui chơi, dành thời gian quý báu của họ trực tuyến và kiếm tiền. Nhưng nếu số tiền đó không được bảo vệ, không ai sẽ ở lại — và họ có thể mất niềm tin hoàn toàn vào trò chơi kiếm tiền.
