Inzicht in de grootste crypto hack tot nu toe
Sky Mavis, de makers van het toonaangevende NFT spel Axie Infinity, zijn overrompeld door een enorme hack. Het team beheert de infrastructuur die de Ronin bridge ondersteunt, die gebruikers crypto heen en weer laat sturen tussen Ethereum en Axie’s Ronin sidechain. Vorige week werd die infrastructuur echter gecompromitteerd door een blackhat aanvaller voor een bedrag van $625M, wat het incident de grootste crypto hack tot nu toe maakt volgens Rekt’s beruchte leaderboard. Laten we eens bijpraten over wat we tot nu toe weten van de aanval voor het Metaversal van vandaag.

Wat is er gebeurd?
- De Ronin sidechain is momenteel beveiligd door negen validatie nodes. Op woensdag 23 maart heeft een aanvaller of aanvallers vijf van deze nodes gecompromitteerd.
- Vervolgens gebruikte de aanvaller de handtekeningen van de nodes om 173.6k ETH en 25.5M USDC, of $625M in USD termen tegen de huidige prijzen, van de Ronin bridge te halen.
- Het onvermogen van een gebruiker om op 29 maart 5k ETH op te nemen via de Ronin bridge, alarmeerde het Sky Mavis team dat fondsen vorige week van de bridge waren weggenomen.
- Sky Mavis reageerde door de brug en Ronin’s Katana uitwisseling te pauzeren. Het team migreert ook zijn node-infrastructuur en werkt samen met de rechtshandhaving, grote cryptobeurzen en Chainalysis om de dader zo goed mogelijk te omsingelen. Alle fondsen op de Ronin sidechain zelf zijn momenteel veilig.
Het idee achter de hack
De Ronin bridge hack was niet het resultaat van een smart contract exploit in tegenstelling tot sommige andere recente bridge aanvallen, bv. de $325M inbreuk op de Solana Wormhole bridge in Feb. 2022. De Ronin aanval was het resultaat van een multi-signature compromis, zoals Optimism software ingenieur Kelvin Fichter heeft opgemerkt. De werkelijke oorzaak van de inbreuk blijft onduidelijk, hoewel een bug in de Ronin validator client software waarschijnlijk lijkt.
Het spook van de validator-gebaseerde bridges
- Met negen validatieknooppunten heeft Ronin vijf knooppunten nodig die altijd eerlijk moeten blijven om veilig te blijven. Deze bridge-aanval was catastrofaal omdat de aanvaller in één klap vijf nodes tegelijk kon compromitteren, waardoor hun opnames als het ware illegaal “eerlijk” werden.
- Meer nodes verspreid over meer projecten van de gemeenschap of van derden, in combinatie met meerdere software clients, zou de hack vermoedelijk hebben voorkomen. Makkelijker gezegd dan gedaan, en hindsight’s 20/20 right. Voor nu heeft Sky Mavis Ronin’s validator drempel verhoogd van vijf naar acht, maar het is ook veilig om aan te nemen dat ze zullen kijken naar verdere decentralisatie en het verhogen van het totaal aantal validators.
- Als je verder kijkt, kijk dan uit naar de Ronin bridge attack om meer aandacht en ontwikkeling te genereren rond “trust-minimized” of “trustless” bridges in de bredere crypto-economie in de toekomst.
Het herstel van Ronin
- “We zijn in gesprek met de belanghebbenden van Axie Infinity / Sky Mavis over hoe we het beste verder kunnen gaan en ervoor kunnen zorgen dat er geen fondsen van gebruikers verloren gaan,” aldus de aankondiging van de Ronin-brugaanval. “Sky Mavis is er voor de lange termijn en zal blijven bouwen.”
- Adam Cochran, een partner bij Cinneamhain Ventures, opperde dat Sky Mavis zou kunnen eindigen met het verkopen van aandelen om de verliezen van de aanval te dekken, hoewel dat voor nu slechts speculatie is.
Waar is het geld (witwassen)?
- Als we goed kijken naar de adressen van de aanvaller (bijv. 1, 2, en 3), kunnen we zien dat het overgrote deel van het gestolen geld nog steeds in het “Ronin Exploiter 1” adres zit.
- Bij het traceren van transacties naar de andere portefeuilles kunnen we echter zien dat de aanvaller enkele batches ETH naar gecentraliseerde crypto beurzen zoals FTX en Crypto.com stuurde om te testen of ze konden uitbetaald worden naar fiat.
- De laatste tijd mengen de meeste blackhat hackers in het Ethereum ecosysteem hun gestolen ETH via privacy oplossing Tornado Cash om de fondsen “schoon” te maken. Dienovereenkomstig lijkt het ongebruikelijk dat de aanvaller fondsen rechtstreeks naar gecentraliseerde crypto exchanges stuurde zonder eerst via Tornado te mixen. In reactie hierop hebben sommige analisten de mogelijkheid geopperd dat de dader exchange accounts van andere gebruikers heeft gekocht om stiekeme opnames te maken.
- Deze truc zal in de toekomst echter moeilijk te hanteren zijn, want alle grote cryptobeurzen houden nu de hoofdadressen van de aanvallers in de gaten en zullen alle uitbetalingen van hen proberen te stoppen. Dit betekent dat de aanvallers hun manieren zullen moeten aanpassen, bv. door Tornado te gebruiken of te proberen ETH te spoelen via NFT buy-and-sells, om verdere vooruitgang te boeken. Toch is het proberen wit te wassen van meer dan $600M in crypto een enorme onderneming.
Mijn kijk op het onderwerp
De Ronin-bridge aanval was een grote tegenslag voor het Axie-ecosysteem. Maar als er een team-community combinatie is die terug kan komen van deze hack en er sterker door is geworden, dan is het Sky Mavis en de Axie Infinity community wel. In de tussentijd zullen velen van ons de keten in de gaten houden om te zien wat de aanvaller vervolgens doet met de gestolen crypto. Door de transacties te blijven volgen zal de missende currency en daarmee de dader(s) worden teruggevonden. Hoe lang dit echter zal duren is afhankelijk van de sluwheid van de dader(s).
Word lid van de Bitcoin/Cryptocurrency Facebook groep om geen enkel nieuwsbericht te missen en kom naar de Telegram om mee te discussiëren.