财联社|区块链日报(北京,记者 董宇佳)讯,黑客从热门区块链游戏Axie Infinity盗走了价值超6亿美元的加密货币,而被盗事件在发生6天后才被曝光。
这是迄今为止涉及数额最多的DeFi黑客攻击事件。虽然距今已有两周时间,部分被盗资金被转移到不同的中心化交易所,以及以太坊隐私工具Tornado Cash上,但截至目前黑客身份仍旧是谜。
4月6日,Axie Infinity母公司获得1.5亿美元的新一轮融资,官方称将用于补偿Ronin被攻击事件的受害者。
“盗窃”是如何发生的?
被盗事件发生在连接到Axie Infinity的Ronin Network中。
Ronin是一条于2021年2月推出的以太坊侧链。在做任何事都要付gas费的以太坊上,Ronin允许每位用户每天进行100次免费交易。
Axie Infinity玩家可以利用这座“桥”将以太坊或USDC存入Ronin,再用来购买游戏内的NFT和代币,同时还能够将出售游戏资产的资金通过“桥”提取出来。
根据3月29日Ronin发布的Newsletter,黑客利用Ronin桥并通过两次单独的交易窃取了173600 个ETH,以及价值超2500万美元的稳定币USDC。而官方在验证器节点遭到破坏的6日后,才意识到攻击的发生。
Ronin采用的是权威证明(PoA)共识模型,与工作量证明(PoW)不同,PoA基于有限验证节点的信誉验证和批准交易。目前,Ronin链由9个验证者节点组成,识别存取款事件需要得到其中5个节点的签名。
该Newsletter指出,黑客“使用被破解的私钥伪造假取款”。具体来说,黑客首先通过其中一个由Axie DAO运行的RPC节点的后门,获取了Axie DAO的签名,再加上攻击者成功控制了Sky Mavis的4个Ronin验证节点,最终实现资产的盗窃。
Ronin Network表示,未来公司将把验证者节点共识的门槛提高到九分之八,并最终增加验证者的数量。
截至发稿,黑客身份未被确认,资金大部分存于黑客的数字钱包中。区块链安全公司慢雾科技分析称,少量资金转移至FTX、Crypto.com和火币等交易所。
据Coindesk报道,业内不少专家对黑客目前试图通过中心化交易所洗钱的方式感到诧异。由于这些平台具有KYC验证系统,存款行为可用于识别黑客的身份,并最终迫使其退还资金。
火币方面对区块链日报表示,“正积极协助Axie Infinity沟通处理”。
币安也表示,已在第一时间暂停了Ronin Network的充提,“调查正在进行中”。
欧科云链研究院高级研究员蒋照生告诉记者,由于链上地址的透明性,黑客地址已经不太能够轻易转帐,所以“不排除最后返还的可能性”。
玩家资产仍无法提出
Ronin用于的Axie Infinity,是世界上最受欢迎的区块链在线游戏之一,由总部位于越南的Sky Mavis公司在2018年推出。
进入Axie Infinity,玩家需要先通过购买或租用的方式获得3个“Axies”。每一个“Axies”都是可以战斗、繁殖、交易的NFT。
Axies通过战斗胜利或完成必要的任务后,玩家将得到游戏内代币SLP或治理代币AXS的奖励。借助SLP和AXS,玩家可以培育他们的Axies以获取更多奖励,也可以选择出售给其他用户来赚钱。
等级高的“Axies”的售价一度高达数十万美元。在Axie Infinity人气飙升的2021年,菲律宾等东南亚国家有人甚至把玩该游戏当作一份全职工作——玩家在其中赚取的代币能够以当地货币兑现。
此外,Axie Infinity的爆发性增长也为其母公司Sky Mavis赢得了包括a16z、 Delphi Digital在内多家风投的投资。Sky Mavis继去年8月份从a16z筹集460万美元后,于10月份再获得了后者领投的1.52亿美元B轮融资。
市场追踪机构CryptoSlam的数据显示,该游戏迄今为止的总交易量超过40亿美元。
“我只希望把钱拿回来,我还有账单要付。”一位不愿意透露姓名的菲律宾玩家告诉区块链日报记者。
由于黑客攻击,Ronin网络已被暂停,在该网络上保留数字资产的玩家目前无法进行交易。
当被问及是否还会继续玩这个游戏,这名菲律宾玩家表示“不确定”,但随后又说道应该还是会继续,“当我赚取代币、获得资产时,我会立即将其取出并兑现。”
4月6日,在黑客攻击事件两周后,Sky Mavis公司宣布其再次获得由币安牵头的1.5亿美元新一轮融资,本轮依旧有a16z参与。Axie Infinity官方表示,本轮融资资金以及Sky Mavis和Axie Infinity的资产负债表将用于确保受黑客事件影响的用户得到补偿。
Axie Infinity的官方推特下,至今依旧有不少玩家留言称,希望他们在Ronin的资产能尽快解冻,并要求官方提供更多的信息,因为“这里面都是我们的钱和投资”。
黑客攻击事件频发的背后
发生在Ronin桥上的被盗案再度凸显了加密领域的安全隐患。
如今,加密资产的市值约为2万亿美元。随着资金的涌入,行业内的黑客行为也愈发猖狂和频繁。
根据区块链研究公司Chainalysis的数据,2021年DeFi平台被盗的资金约为23亿美元,比前一年增加了1330%。
针对跨链桥与DeFi项目遭受黑客攻击的区别,蒋照生认为对于DeFi项目方来说,智能合约安全最重要;而对跨链桥来说,如何保障托管资产安全和建立社区共识更重要。
“DeFi是应用,跨链桥只是基础设施。”他说道。
“未来将是多链,而不会是跨链。”以太坊创始人Vitalik Buterin今年1月份在推特上表示,“跨越多个‘主权区域’的桥梁存在根本性的安全限制。”
根据Ronin Network的声明,其承诺“确保用户的资金不会丢失”。从此前行业内发生的黑客攻击事件来看,若找不回被盗资金,受攻击的项目方多会表示将独立承担用户损失。
但如果项目方不承担损失,再加上监管的不完善,受害者追回资金或能够求助的渠道范围并不多。
此前发生在2021年8月,黑客从跨链去中心化金融 (DeFi) 协议Poly Network上盗取了6.11亿美元,随后绝大部分资金都被黑客自行归还。
蒋照生指出,DeFi等创新领域的业务变化繁多,对智能合约的设计提出了极高的要求,也因此“常常成为黑客寻找漏洞成功率最高的方向之一”。随着DeFi在多个公链生态逐渐繁荣,他认为部分项目的“产品结构和经济模型设计”有待提升。