Hacker đã đánh cắp 625 triệu đô la từ mạng blockchain đằng sau trò chơi NFT Axie Infinity

Được biết, mạng lưới Ronin Network điều hành Axie Infinity, trò chơi điện tử thu hút khoảng 2 triệu người chơi mỗi ngày trên toàn thế giới. Qua nền tảng này, người dùng có thể gửi Ethereum hoặc USDC cho Ronin, sau đó mua các vật phẩm mã thông báo không thể thay thế (NFT) hoặc tiền tệ trong trò chơi, hoặc họ có thể bán tài sản trong trò chơi của mình. 

Nền tảng blockchain này giúp khắc phục một số vấn đề của blockchain Ethereum như phí cao và dễ bị nghẽn mạng. Với số tín đồ đó giúp Ronin Network kiếm về hàng triệu USD mỗi ngày. Nhưng mới đây, tin tặc đã tấn công Ronin Network - mạng lưới blockchain kết nối game Axie Infinity với Ethereum.

Cụ thể, trong thông báo trên Twitter đêm 29/3, mạng Ronin Network cho biết hệ thống có lỗ hổng và bị tấn công. Hacker đã thực hiện hai giao dịch chuyển tiền, tổng cộng 173.600 Ethereum cùng 25,5 triệu USDC. Với giá trị mỗi ETH là 3,4 nghìn USD, số tiền điện tử này tương đương 615 triệu USD. Số tiền bị đánh cắp bao gồm của cả công ty quản lý trò chơi điện tử trực tuyến Axie Infinity lẫn người chơi.

Sky Mavis cho biết họ đang làm việc với cơ quan thực thi pháp luật để thu hồi 173.600 Ethereum (hiện trị giá khoảng 600 triệu đô la) và 25,5 triệu USDC (một loại tiền điện tử được gắn với đô la Mỹ) từ thủ phạm, kẻ đã rút nó khỏi mạng lưới vào ngày 23 tháng 3.

Theo Sky Mavis, một kẻ tấn công đã sử dụng các khóa bảo mật cá nhân bị tấn công để xâm phạm các node mạng xác thực chuyển đến và đi từ blockchain Ronin. Điều đó cho phép kẻ tấn công lặng lẽ rút một lượng lớn Ethereum và USDC. Việc lấy cắp bị phát hiện vào ngày 29/3, gần một tuần sau khi một người dùng khác cố gắng rút 5.000 Ethereum thông qua Ronin Network mà không được.

Sky Mavis cho biết họ "đang làm việc với các quan chức thực thi pháp luật, các nhà mật mã công nghệ blokchain và các nhà đầu tư của chúng tôi để đảm bảo không mất tiền của người dùng, gọi đó là "ưu tiên hàng đầu".

Sky Mavis khẳng định, cuộc tấn công Ronin có thể xảy ra một phần do công ty đã sử dụng một lối tắt để giảm bớt "lượng người dùng khổng lồ" trên mạng của mình vào tháng 11 năm ngoái - vài tháng sau khi trò chơi này trở nên phổ biến ở Philippines và các quốc gia khác, nơi người chơi dựa vào đó như một công việc toàn thời gian. Hệ thống đã ngừng hoạt động vào tháng 12/2021, nhưng "quyền truy cập vào danh sách cho phép không bị thu hồi".

Ngoài việc xâm phạm bốn trong số các node riêng của Sky Mavis, kẻ tấn công đã khai thác chúng để có quyền truy cập vào một node do Axie DAO thuộc sở hữu cộng đồng quản lý. Sau khi xâm phạm 5 trong số 9 node xác thực, kẻ tấn công có thể ghi đè một cách hiệu quả bất kỳ bảo mật giao dịch nào và rút bất kỳ khoản tiền nào chúng thích.

Trong phần giải thích, Ronin Network cho biết blockchain được xây dựng với chín node xác thực. Mỗi giao dịch gửi tiền hoặc rút tiền hiện tại sẽ yêu cầu ít nhất năm node xác thực. Trong vụ tấn công trên, hacker đã đã tấn công thành công vào năm node xác thực, trong đó gồm bốn node của Sky Mavis và một của Axie DAO.

Thực tế, các node xác thực là một tính năng quan trọng của nền tảng blockchain như Ronin. Nó giúp xem xét các giao dịch mới để xác nhận rằng đầu vào và đầu ra của chúng khớp nhau và chữ ký ủy quyền là hợp lệ, từ chối bất kỳ giao dịch nào không phù hợp. Sử dụng số lượng node ít hơn sẽ nhanh hơn và hiệu quả hơn - nhưng như vụ hack lần này cho thấy, nó có thể tạo ra rủi ro bảo mật nếu thậm chí cả phần lớn các node xác thực bị xâm phạm. Đó là một lỗ hổng tiềm ẩn cho các nền tảng blockchain được quảng cáo là rẻ hơn và thân thiện với môi trường hơn Ethereum.

Công ty cũng cho biết họ đang làm việc với công ty tình báo blockchain Chainalysis để theo dõi các khoản tiền bị đánh cắp và đã liên hệ với các chính phủ khác nhau để được hỗ trợ thực thi pháp luật. Hầu hết số tiền bị đánh cắp vẫn nằm trong ví của tin tặc. Công ty không cho phép người dùng rút hoặc gửi tiền nhưng cho biết, họ "cam kết đảm bảo rằng tất cả các khoản tiền đã bị mất sẽ được thu hồi hoặc hoàn trả".

Sky Mavis cho biết họ sẽ tăng số lượng node xác thực cần thiết lên 8 node cho các giao dịch và sẽ mở lại cầu Ronin Network sau khi chắc chắn rằng không còn tiền nữa. Hiện tại, vụ vi phạm Ronin Network dường như là vụ hack lớn nhất cho đến nay của mạng "tài chính phi tập trung", sau vụ trộm 322 triệu đô la từ giao thức cầu nối Wormhole vào tháng trước.

"Như chúng ta đã chứng kiến, Ronin Network không miễn nhiễm với việc khai thác và cuộc tấn công này đã củng cố tầm quan trọng của việc ưu tiên bảo mật, duy trì cảnh giác và giảm thiểu tất cả các mối đe dọa", công ty cho biết trong thông báo của mình. "Chúng tôi biết rằng cần phải đạt được sự tin tưởng và đang sử dụng mọi nguồn lực có được của chúng tôi để triển khai các quy trình, và biện pháp bảo mật tinh vi nhất nhằm ngăn chặn các cuộc tấn công trong tương lai".