Tổng quan
Axie Infinity (AXS) là một trò chơi chiến đấu và giao dịch dựa trên blockchain, do người chơi sở hữu và vận hành một phần. Lấy cảm hứng từ các trò chơi nổi tiếng như Pokémon và Tamagotchi, Axie Infinity cho phép người chơi thu thập, lai tạo, nuôi, chiến đấu và giao dịch các sinh vật dựa trên token được gọi là Axie.
Đầu năm 2021, Axie Infinity có kế hoạch di chuyển các token NFT, bao gồm Axie, Land và các token khác đối với vật phẩm trong trò chơi từ Mạng lưới Loom sang một sidechain được xây dựng tùy chỉnh trên Ethereum được gọi là Ronin.
Ronin là một sidechain dành riêng cho ứng dụng được xây dựng chỉ dành cho Axie Infinity, được phát triển bởi Sky Mavis (công ty phát triển trò chơi Axie Infinity) và được thiết kế để hỗ trợ xác nhận giao dịch gần như ngay lập tức, giảm phí gas và có khả năng giúp Axie Infinity mở rộng quy mô.
Thông tin vụ Hack
Vào ngày 23 tháng 3, các nút xác thực Ronin của Sky Mavis và các nút xác thực Axie DAO đã bị xâm phạm, dẫn đến 173.600 Ethereum và 25,5 triệu USDC bị rút khỏi cầu Ronin.
Vụ hack xảy ra vào ngày 23 tháng 3 năm 2022 và được phát hiện vào ngày 29 tháng 3 bởi nhóm Sky Mavis. Nhóm đã phát hiện ra cuộc tấn công vào sáng ngày 29 tháng 3 sau khi có báo cáo từ một người dùng về việc không thể rút 5k ETH từ cây cầu.
Theo thông tin từ đội ngũ phát triển “ Do không có hệ thống theo dõi thích hợp để giám sát dòng chảy lớn từ cây cầu, đó là lý do tại sao vi phạm không được phát hiện ngay lập tức “. Khi cây cầu mới được triển khai, sẽ không thể rút các giao dịch ở quy mô lớn (số lượng tài sản quá lớn so với khả năng cá nhân sở hữu) nếu không có sự đồng ý xác nhận giao dịch của các nút.
Kẻ tấn công đã sử dụng khóa cá nhân bị tấn công để thực hiện việc rút tiền giả và đã quản lý để có được quyền kiểm soát 5 trong số 9 khóa cá nhân của trình xác thực – 4 trình xác thực Sky Mavis và 1 Axie DAO – để giả mạo rút tiền. Điều này dẫn đến 173.600 Ethereum và 25,5 triệu USDC được rút khỏi cầu Ronin trong hai giao dịch.
Ước tính tổng thiệt hại là hơn 600 triệu đô tính theo giá trị ETH và USDC tại thiểm điểm phát hiện.
Ngày 14/2/2022: FBI quy kết Tập đoàn Lazarus có trụ sở tại Triều Tiên là Vi phạm An ninh Trình xác thực Ronin.
Nguyên nhân
Các nhân viên của Sky Mavis liên tục bị tấn công lừa đảo liên tục trên các kênh xã hội khác nhau và một nhân viên đã bị xâm phạm. Nhân viên này không còn làm việc tại Sky Mavis. Kẻ tấn công đã quản lý để tận dụng quyền truy cập đó để thâm nhập vào cơ sở hạ tầng CNTT của Sky Mavis và giành quyền truy cập vào các nút xác thực.
Chuỗi Ronin của Sky Mavis hiện bao gồm 9 nút xác nhận. Để nhận ra sự kiện Gửi tiền hoặc sự kiện Rút tiền, cần có 5 trong số 9 chữ ký của người xác nhận. Kẻ tấn công đã quản lý để có được quyền kiểm soát 4 Trình xác thực Ronin của Sky Mavis và trình xác thực của bên thứ 3 do Axie DAO điều hành.
Vào thời điểm vụ hack, Sky Mavis đã kiểm soát 4/9 trình xác thực, điều này sẽ không đủ để giả mạo rút tiền. Lược đồ khóa của trình xác thực được thiết lập để phi tập trung để hạn chế vectơ tấn công, tương tự như vectơ này, nhưng kẻ tấn công đã tìm thấy một cửa hậu thông qua nút RPC không chứa gas, mà chúng đã lạm dụng để lấy chữ ký cho trình xác thực Axie DAO.
Điều này bắt nguồn từ tháng 11 năm 2021 khi Sky Mavis yêu cầu sự trợ giúp từ Axie DAO để phân phối các giao dịch miễn phí do lượng người dùng quá lớn. Axie DAO cho phép Sky Mavis trong danh sách thay mặt mình ký các giao dịch khác nhau. Điều này đã bị ngừng vào tháng 12 năm 2021, nhưng quyền truy cập danh sách cho phép không bị thu hồi.
Sau khi kẻ tấn công có quyền truy cập vào hệ thống Sky Mavis, chúng có thể lấy chữ ký từ trình xác thực Axie DAO bằng cách sử dụng RPC không khí.
Lỗ hổng bảo mật đã được khắc phục bằng cách thêm các nút xác nhận bổ sung. Tuy nhiên, để đảm bảo điều này không xảy ra nữa, nhóm đã triển khai một lộ trình bảo mật toàn diện.
Cách khắc phục
Sky Mavis đang thực hiện các bước sau để tăng cường bảo mật của mình hiện tại và trong tương lai.
Liên tục làm việc với các chuyên gia bảo mật hàng đầu để tránh các mối đe dọa kéo dài.
Ngay sau khi vi phạm, Sky Mavis đã làm việc với CrowdStrike và Polaris Infosec để xử lý giám sát nội bộ và pháp y. Sky Mavis cũng đang làm việc với các công ty khác sẽ không được nêu tên để đảm bảo các bên thù địch không thể có được cái nhìn tổng thể về các biện pháp phòng thủ.
Tăng số lượng nút xác thực trên mạng Ronin
Vào thời điểm vi phạm bảo mật, Sky Mavis có chín nút xác thực. Sky Mavis đã tăng con số này lên 11 và sắp giới thiệu thêm ba nút xác thực nữa. Trong ba tháng tới, mục tiêu của chúng tôi là 21 nút xác thực, với mục tiêu dài hạn là có hơn 100 nút.
Thực hiện các quy trình nội bộ nghiêm ngặt hơn
Sky Mavis đang kiểm tra mọi lĩnh vực an ninh, bao gồm cả các quy trình nội bộ. Sky Mavis đang đặt trọng tâm vào bảo mật cho tất cả nhân viên, bao gồm các khóa đào tạo mạnh mẽ hơn để chống lại các mối đe dọa bên ngoài và sử dụng các thiết bị chỉ dành cho công việc để giảm thiểu rủi ro hơn nữa.
Tiến hành kiểm tra
Ronin hiện là tiêu chuẩn vàng khi nói đến an ninh. Tất cả mã đang được xem xét và tối ưu hóa đầy đủ, với các chuyên gia bảo mật đang xem xét toàn bộ kiến trúc.
Tạo một tổ chức Zero-Trust
Mục tiêu của Sky Mavis là trở thành một tổ chức hoàn toàn chống phân mảnh, không tin cậy. Zero-trust là một khuôn khổ giả định rằng Sky Mavis luôn gặp rủi ro trước các mối đe dọa từ bên ngoài và bên trong. Mô hình bảo mật không tin cậy xác minh và cấp phép mọi kết nối, chẳng hạn như khi người dùng kết nối với ứng dụng hoặc phần mềm với tập dữ liệu thông qua giao diện lập trình ứng dụng. Nó đảm bảo sự tương tác đáp ứng các yêu cầu có điều kiện trong chính sách bảo mật.
Khởi chạy Bug Bounty
Sky Mavis nhận ra tầm quan trọng và giá trị của những nỗ lực của các nhà nghiên cứu bảo mật trong việc giúp giữ an toàn cho cộng đồng. Sky Mavis đang cung cấp tiền thưởng lên tới 1 triệu đô để khuyến khích tiết lộ có trách nhiệm về các lỗ hổng bảo mật
Đăng ký chứng nhận ISO27001 và các chứng chỉ liên quan đến bảo mật khác. Theo thời gian Sky Mavis sẽ trải qua nhiều quy trình chứng nhận khác nhau.
Tài trợ và thu hồi
Sau khi vụ Hask xảy ra đã có nhiều tổ chức ngỏ ý muốn hỗ trợ dự án trong đó có Binance. Ngày 6/4/2022: Sky Mavis (công ty mẹ của Axie Infinity) đã công bố vòng tài trợ 150 triệu USD do Binance dẫn đầu với sự tham gia của Animoca Brands, a16z, Dialectic, Paradigm.
Ngày 22 tháng 4 năm 2022: Sàn giao dịch tiền mã hoá Binance đã thu hồi số tiền bị đánh cắp trị giá 5,8 triệu đô có nguồn gốc từ đợt khai thác Axie Infinity. Nhóm hack CHDCND Triều Tiên bắt đầu chuyển số tiền bị đánh cắp Axie Infinity của họ vào ngày hôm nay. Một phần trong số đó được chuyển đến Binance, trải rộng trên 86 tài khoản. 5,8 triệu đô la đã được thu hồi
Kết luận
Axie Infinity và nhóm đã trải qua sự việc quá đáng tiếc khi hơi lơ là trong việc tăng cường bảo mật cầu nối mạng Ronin. Đây cũng là lời cảnh tỉnh cho các nhà phát triển dự án nên chú ý đến vấn đề bảo mật. Một số giải pháp trong tương lai để Axie có thể hạn chế những vụ tấn công
- Tăng cường bảo mật giúp mạng hạn chế khỏi điều tương tư xảy ra trong tương lai.
- Đặt hạn chế đối vối lệnh rút tiền với số lượng lớn vượt quá khả năng sở hữu của cá nhân
- Liên kết với công ty Audit để hạn chế rủi ro, tăng cường bảo mật.
- Liên kết với các công ty bảo hiểm trong ngành.
Hy vọng với những thông tin trên sẽ giúp các bạn có cái nhìn tổng quan về vụ hack của Axie Infinity (AXS). GFS Blockchain sẽ liên tục cập nhật thông tin mới về thị trường, mọi người hãy theo dõi thường xuyên chuyên mục thông tin dự án tại website và đừng quên tham gia vào nhóm cộng đồng của GFS để cùng thảo luận, trao đổi kiến thức và kinh nghiệm với các thành viên khác nhé.