Kể từ vụ hack cầu nối Ronin của Axie Infinity, các lập trình viên của trò chơi này đã quyên góp được 150 triệu đô la để hoàn trả cho những người dùng bị ảnh hưởng.
Vào cuối tháng Ba, Ronin, một sidechain của Ethereum được xây dựng cho trò chơi NFT play-to-earn (P2E – chơi để kiếm tiền) Axie Infinity, đã bị hack đánh cắp 173.600 Ether (ETH) và 25,5 triệu USD Coin (USDC ) với tổng giá trị hơn 600 triệu đô la.
Vụ vi phạm trên cầu nối Ronin đã được xác nhận bởi Sky Mavis, các nhà phát triển đằng sau trò chơi P2E phổ biến:
Báo cáo chính thức từ công ty lưu ý rằng các hacker đã thành công truy cập vào các khóa riêng tư của các nút trình xác thực, dẫn đến việc xâm phạm năm nút trình xác thực, đây cũng là ngưỡng bắt buộc để phê duyệt một giao dịch. Chuỗi Ronin hiện bao gồm chín nút xác thực và hacker đã thành công truy cập vào bốn nút trong số đó và một nút trình xác thực của bên thứ ba do tổ chức tự trị phi tập trung (Decentralized Autonomous Organization – DAO) Axie DAO điều hành.
Nguyên nhân gốc của vụ hack có thể được bắt nguồn từ năm ngoái khi Axie DAO cấp quyền truy cập cho Sky Mavis để thay mặt công ty này ký các giao dịch nhằm giảm thiểu lượng người dùng. Tuy nhiên, quyền truy cập này không bao giờ bị thu hồi, điều này cuối cùng dẫn đến việc các hacker truy cập vào cửa hậu, dẫn đến vụ hack 600 triệu đô la.
Việc khai thác diễn ra vào ngày 23 tháng 3, chỉ được phát hiện gần một tuần sau đó sau khi các hacker đứng sau cuộc tấn công sử dụng số tiền bị đánh cắp để bán khống Axie Infinity (AXS) và Ronin (RON). Các hacker đã hy vọng kiếm được nhiều tiền hơn từ việc trục lợi này, nghĩ rằng tin tức về vụ hack tiền mã hóa lớn nhất cuối cùng sẽ làm sụp đổ thị trường, tuy nhiên, chúng đã được thanh toán thành công khi có tin tức về vụ hack này: 
Cầu nối Ronin đã đóng cửa sau đó, với tất cả các khoản tiền gửi và rút tiền bị tạm dừng cho đến khi cuộc điều tra hoàn tất và có thể mất vài tuần trước khi cây cầu có thể mở cửa sử dụng trở lại. Các nhà phát triển đằng sau trò chơi kể từ đó đã tìm kiếm sự trợ giúp từ các sàn giao dịch tiền mã hóa khác nhau và nhóm phân tích tiền mã hóa Chainalysis để theo dõi sự dịch chuyển của các khoản tiền và thu hồi chúng.
Sky Mavis đã loại trừ các lỗ hổng kỹ thuật là nguyên nhân cốt lõi đằng sau vụ hack và đổ lỗi nó cho các hình thức tấn công phi kỹ thuật. Các lập trình viên cũng hứa sẽ hoàn trả và thu hồi số tiền bị đánh cắp:
“Đây là một cuộc tấn công phi kỹ thuật kết hợp với các sai số chủ quan từ tháng 12 năm 2021. Công nghệ của Sky Mavis rất vững chắc và chúng tôi sẽ bổ sung một số trình xác thực mới cho Ronin Network để phi tập trung hóa mạng lưới”, đồng sáng lập kiêm Giám đốc điều hành của Axie Infinity – Aleksander Leonard Larsen cho biết.
Rửa và hoàn trả lượng tiền bị đánh cắp
Việc trục lợi trên cầu nối Ronin khá giống với những gì đã xảy ra trên cầu nối Wormhole của Solana, nơi những hacker đã tìm cách lấy đi nguồn vốn tiền mã hóa trị giá 320 triệu đô la nền tảng cầu nối. Cuối tháng Hai, Jump Crypto – một công ty đầu tư mạo hiểm – đã bảo lãnh cho những người dùng bị trục lợi và bổ sung thêm 120.000 ETH.
Sky Mavis đã đưa ra lời hứa tương tự sau vụ hack này, tuyên bố rằng họ sẽ đảm bảo rằng những người dùng bị ảnh hưởng sẽ được hoàn trả ngay cả khi số tiền bị mất không được phục hồi. Vào ngày 6 tháng 4, những nhà sáng tạo ra trò chơi phổ biến này đã huy động được 150 triệu đô la do sàn giao dịch tiền mã hóa Binance và các nhà đầu tư khác dẫn đầu.
Nhiều người trong thế giới tiền mã hóa hy vọng rằng, giống như vụ hack khai thác Poly Network, hacker đứng sau vụ khai thác cầu nối Ronin cuối cùng sẽ trả lại số tiền bị đánh cắp, vì rất khó để “rửa” một số tiền lớn như vậy. Tuy nhiên, chưa có bất kỳ bằng chứng nào về việc giao tiếp như vậy giữa các nhà phát triển trò chơi và tin tặc và công ty từ chối bình luận về tình trạng của những giao tiếp đó.
Elliptic, một công ty phân tích dữ liệu tiền mã hóa, đã truy tìm được 540 triệu đô la trong số tiền bị đánh cắp và tin rằng các hacker đã bắt đầu rửa tiền. Đầu tiên, các USDC bị đánh cắp đã được đổi lấy ETH trên các sàn giao dịch phi tập trung (DEX) để tránh bị đóng băng.
Sau khi trao đổi USDC đổi lấy ETH, các hacker bắt đầu rửa ETH thông qua ba sàn giao dịch tập trung.
Ví thuộc về các hacker của cầu nối Ronin cũng đã bắt đầu gửi tiền đến các dịch vụ trộn tiền tệ như Tornado Cash. Điều đáng chú ý là lúc đầu kẻ khai thác Poly Network cũng làm như vậy nhưng cuối cùng quyết định trả lại tiền vì việc rửa một số tiền lớn như vậy ngày càng trở nên khó khăn. Theo một báo cáo của PeckShield, các hacker đã rửa sạch số tiền trị giá khoảng 42 triệu đô la, tương đương 7,5% tổng số tiền.
Có thể tránh được vụ hack này không?
Mặc dù không phải tất cả các nền tảng blockchain đều được tạo ra như nhau, nhưng tất cả chúng đều được thiết lập theo nguyên tắc phi tập trung, điều này đảm bảo rằng quyền lực và bảo mật không tập trung vào tay của một thực thể duy nhất. Sự cần thiết đối với việc phi tập trung hóa được nhấn mạnh bởi vụ hack của cầu nối Ronin. Việc sử dụng chín trình xác thực, bốn trong số đó được kiểm soát bởi một bên duy nhất, đã được chứng minh là không an toàn.
Trong khi các nhà sản xuất trò chơi tuyên bố rằng vụ trục lợi không diễn ra do bất kỳ thiếu sót kỹ thuật nào, thực tế mà các hacker đã thành công trục lợi và truy cập vào một lối cửa sau vào một trong các nút xác thực của họ vì các nhà phát triển đã quên thu hồi quyền truy cập vào trình xác thực của bên thứ ba, chắc chắn làm nổi bật một mức độ tập trung nhất định trong quy trình phê duyệt trình xác thực. Điều này cuối cùng đã trở thành lý do dẫn đến việc thiệt hại tài sản tiền mã hóa trị giá 600 triệu đô la.
Đối với một trò chơi như Axie Infinity được định giá 4 tỷ đô la và có cơ sở người dùng lên đến hàng triệu, các lập trình viên chắc chắn đã có thể làm tốt hơn với bảo mật của các cầu nối, đặc biệt là khi các nền tảng xuyên cầu đã chịu tác động từ một số vụ trộm tiền mã hóa lớn nhất trong vài năm qua.
Các lập trình viên của trò chơi đã hứa sẽ tăng số lượng nút xác thực từ 9 lên 21 trong quý tới. Họ cũng đảm bảo rằng nếu số tiền bị đánh cắp không được phục hồi trong vòng hai năm, Axie DAO sẽ bỏ phiếu cho các hành động tiếp theo đối với kho bạc của mình.
Nguồn: Cointelegraph