Quản lý khóa cá nhân (private key) và giữ an toàn cho nó luôn là một chủ đề quan trọng trong thế giới tiền điện tử. Hãy cùng Thecoindesk phân tích về vụ hack tài sản mới đây trên Ronin.
Tin tặc đã lấy đi số tiền lớn trong sự ngỡ ngàng của mọi người
Mới đây nhất, Axie Infinity trên Ronin Network bị tấn công và đánh cắp số tiền điện tử trị giá khoảng 610 triệu USD, bao gồm 173.600 ETH và 25,5 triệu USDC. Vụ việc diễn ra vào ngày 23/3 nhưng tận 5 ngày sau mọi người mới phát hiện.
Axie Infinity là tựa game giống Pokemon, người chơi có thể kiếm tiền điện tử thông qua đó; Ronin Network là một chuỗi phụ được phát triển để đạt được Giao dịch mỗi giây (TPS) cao và cho phép người dùng có trải nghiệm chơi game mượt mà hơn; Ronin Bridge hỗ trợ chuyển tiền điện tử vào và ra mạng lưới Ronin; cả hai đều được điều hành bởi Sky Mavis.
Validation Node bị mất
Để xác định các giao dịch gửi và rút tiền, Ronin cần xác minh 5 chữ ký trong số 9 validator nodes. Các tin tặc đã hack 4 private key của Sky Mavis và tạo ra 5 chữ ký hợp pháp bao gồm 4 trình xác thực Sky Mavis và 1 trình xác thực bên thứ ba do Axie DAO điều hành.
Sau khi private key bị tấn công, tin tặc sử dụng chữ ký tạo ra bằng chứng rút tiền (Proof of Withdraw). Sau sự cố này, Sky Mavis quyết định tăng số chữ ký nút xác minh cần thiết lên 8.
Việc xác minh node là phi tập trung, nhưng hacker vẫn phát hiện ra lỗ hổng bên trong RPC.
Vào tháng 11/2021 tại sự kiện của Axie DAO, họ đã trao cho Sky Mavis quyền ký các giao dịch nhưng sau đó Axie đã thu hồi lại quyết định, bởi khi hacker có được quyền truy cập vào Sky Mavis, họ có thể lấy được chữ ký của Axie DAO thông qua lỗ hổng RPC.
600 triêu USD đã đi đâu?
CertiK thông qua công cụ Skytrace để tóm tắt biểu đồ về dòng tiền:
Sự cố lần này là do quản lý private key chưa tốt. CertiK đã nhắc nhở người dùng và các bên dự án về tầm quan trọng của quản lý private key.
Sky Mavis áp dụng đa chữ ký (multi-signature) để tránh sai lầm tương tự. Đa chữ ký cần có nhiều private key để ủy quyền một giao dịch thay vì 1 chữ ký như trước đây.
CertiK đã đăng bài trên twitter chính thức của mình để cảnh báo các dự án và người dùng trước thủ đoạn ngày càng tinh vi của hacker.
Lưu ý: Đây không phải là lời khuyên đầu tư, Thecoindesk chỉ đưa ra những thông tin xung quanh dự án, bạn phải chịu trách nhiệm trước những quyết định mình đưa ra!