Environ 625 millions de dollars de cryptomonnaie ont été volés à Ronin, la blockchain sous-jacente au jeu crypto populaire Axie Infinity. L'opérateur Ronin et Axie Infinity, Sky Mavis, a révélé la brèche mardi 29 mars et a gelé les transactions sur le pont Ronin, qui permet de déposer et de retirer des fonds de la blockchain de l'entreprise.Sky Mavis a indiqué qu'il travaille avec les forces de l'ordre pour récupérer 173 600 Ethereum (d'une valeur actuelle d'environ 609 millions de dollars) et 25,5 millions d'USDC (une cryptomonnaie indexée sur le dollar américain) auprès du coupable, qui l'a retiré du réseau le 23 mars. L'attaque s'est concentrée sur le pont vers la blockchain Ronin de Sky Mavis, un intermédiaire entre Axie Infinity et d'autres blockchains de cryptomonnaie comme Ethereum. Les utilisateurs peuvent déposer Ethereum ou USDC auprès de Ronin, puis acheter des jetons non fongibles ou de la monnaie du jeu, ou ils peuvent vendre leurs actifs dans le jeu et retirer l'argent.
« Il y a eu une faille de sécurité sur le réseau Ronin. Plus tôt dans la journée, nous avons découvert que le 23 mars, les nœuds de validation Ronin de Sky Mavis et les nœuds de validation Axie DAO ont été compromis, ce qui a entraîné la fuite de 173 600 Ethereum et 25,5 millions USDC du pont Ronin en deux transactions. L'attaquant a utilisé des clefs privées piratées afin de falsifier de faux retraits. Nous avons découvert l'attaque ce matin après un rapport d'un utilisateur incapable de retirer 5k ETH du pont ».
Selon Sky Mavis, un attaquant a utilisé des clefs de sécurité privées piratées pour compromettre les nœuds du réseau qui valident les transferts vers et depuis la blockchain Ronin. Cela a permis à l'attaquant de retirer discrètement de grandes quantités d'Ethereum et d'USDC. Le transfert a été découvert le 29 mars, soit près d'une semaine plus tard, lorsqu'un autre utilisateur a tenté de retirer 5 000 Ethereum via le pont.
En savoir plus sur Axie Infinity
Pour comprendre la nature de cette violation, parcourons les grandes lignes de l'histoire d'Axie Infinity et du réseau complexe de normes et de technologies cryptographiques qui ont permis à l'exploit de se produire.
Axie Infinity a été cité comme l'une des premières réussites du jeu dit blockchain. Ces jeux utilisent des protocoles décentralisés pour suivre la propriété de certains éléments du jeu et permettent généralement aux joueurs d'avoir un certain contrôle sur la revente de ces éléments.
Pour jouer à Axie Infinity, les joueurs doivent acheter au moins trois NFT d'Axies (des créatures un peu à la Pokemon qui servent pendant les combats) jouables dans le jeu sur le marché libre (ou les emprunter aux propriétaires). Jouer avec ces Axies rapporte ensuite aux joueurs des Smooth Love Potions (SLP), qui peuvent être utilisées sur les Axies pour en créer d'autres ou être vendues à d'autres joueurs comme marchandise.
Alors comment les joueurs gagnent-ils de l'argent si le jeu est gratuit au téléchargement ? Le jeu repose sur la technologie de la blockchain qui indique le nombre d'Axies en circulation. Même si grâce aux SLP le nombre d'Axies augmente, à un instant "T", il y a un nombre limité d'Axies. À titre d'illustration, s'il y a 100 Axies en circulation et 200 nouveaux joueurs qui veulent jouer, ils ne pourront pas tous avoir leur équipe d'Axies (il en faut au moins 3), ce qui crée donc une offre et une demande, par conséquent une fluctuation de prix. Une fois que vous avez acheté les Axies (s'ils vous appartiennent, cela sera visible sur la blockchain), vous pourrez les revendre. Il en est de même pour les potions SLP qui sont limitées dans le temps T, ce qui crée de la rareté numérique. Les joueurs peuvent également décider de les revendre.
Bien entendu, ce ne sont pas les développeurs qui fixent les prix et encore moins qui encaissent l'argent ; ils prennent une commission de 4,25 % sur les ventes.
La vidéo ci-dessous est plus explicative (au moment du montage, l'Axie le moins cher coûtait 311 dollars - la vidéo date de l'année dernière, depuis le prix a drastiquement chuté) :
L'année dernière, il y avait suffisamment de battage médiatique et d'argent dans ce système et des médias ont rapporté que certains joueurs dans des pays comme les Philippines ont pu gagner un salaire local décent simplement en jouant au jeu comme travail à plein temps. Mais ce succès précoce a aidé à attirer davantage de joueurs qui espéraient monter dans le train du jeu pour gagner de l'argent et ont inondé le marché de SLP.
Avec peu de nouveaux acheteurs venant acheter tous ces SLP, la valeur des potions (en dollars) a chuté d'environ 80 % depuis début novembre et de 95 % depuis son pic de mai dernier, selon CoinGecko. Comme la valeur du SLP a drastiquement chuté, il en va de même pour le nombre de joueurs actifs quotidiens d'Axie Infinity et le nombre de nouveaux joueurs achetant de nouveaux Axies.
La faille
Alors qu'Axie Infinity fonctionnait à l'origine directement sur la blockchain Ethereum, les coûts de transaction élevés et les vitesses de transaction lentes sur ce réseau sont rapidement devenus intenables à mesure que le jeu se développait. Pour contourner ces frais, Sky Mavis en 2020 a commencé à utiliser une sidechain - une blockchain privée parallèle fonctionnant au-dessus d'Ethereum qui pourrait contourner la nécessité de payer les « frais d'essence » Ethereum pour chaque transaction. Les frais d'essence (gas fees en Anglais) sont les commissions que l'on verse au mineur qui effectue la validation d'une transaction donnée. Par défaut, ce prix du gas est exprimé en GWei ou giga-weis, le weis étant la plus petite unité de ETH (Ethereum).
Sky Mavis s'est initialement associé à Loom Networks pour cette fonctionnalité de sidechain. En mars 2020, cependant, la société a rompu ce partenariat et a introduit sa propre chaîne latérale appelée Ronin.
Contrairement à la blockchain Ethereum de preuve de travail distribuée, la chaîne latérale Ronin fonctionne sur un système de preuve d'autorité beaucoup plus centralisé. Plutôt que de consulter l'ensemble du réseau de blockchain distribué pour confirmer les transactions, ce système de preuve d'autorité exécute ses transactions via un petit ensemble de nœuds « valideurs » de confiance et triés sur le volet. Chaque nœud mise une partie de sa réputation sur la validation de chaque transaction, punissant théoriquement les acteurs isolés qui tentent de déjouer le système.
Les échanges centralisés comme Binance et les échanges décentralisés comme Katana permettent aux utilisateurs un « pont » pour transférer leurs actifs dans le jeu entre Ronin et la principale blockchain Ethereum. Mais parce que ces transferts peuvent se produire plus occasionnellement et à grande échelle, les coûts de transaction finissent par être beaucoup plus bas.
Le système de preuve d'autorité de Ronin, centralisé dans seulement neuf nœuds de validation, est la clef de sa capacité à fournir un volume de transactions plus élevé à un coût bien inférieur à celui du vaste réseau Ethereum. Cela a également fini par être le point faible de Ronin, dans ce cas.
Comme l'explique Sky Mavis, l'attaquant inconnu a pu pénétrer les systèmes de Sky Mavis et obtenir un accès complet à quatre nœuds de validation contrôlés par l'entreprise. L'attaquant a ensuite pu utiliser une porte dérobée restante dans ces nœuds pour prendre le contrôle d'un autre valideur contrôlé par le DAO Axie décentralisé.
Avec ce cinquième nœud de validation, l'attaquant pourrait alors fournir une majorité de signatures de validation sur toute transaction qu'il souhaite, entraînant des transferts frauduleux.
« La chaîne Ronin de Sky Mavis se compose actuellement de 9 nœuds de validation. Afin de reconnaître un événement de dépôt ou un événement de retrait, cinq des neuf signatures du valideur sont nécessaires. L'attaquant a réussi à prendre le contrôle des quatre valideurs Ronin de Sky Mavis et d'un valideur tiers géré par Axie DAO.
« Le schéma de clef du valideur est configuré pour être décentralisé afin de limiter un vecteur d'attaque, similaire à celui-ci, mais l'attaquant a trouvé une porte dérobée via notre nœud RPC gas-free, dont il a abusé pour obtenir la signature du valideur Axie DAO.
« Cela remonte à novembre 2021 lorsque Sky Mavis a demandé l'aide d'Axie DAO pour distribuer des transactions gratuites en raison d'une immense charge d'utilisateurs. L'Axie DAO a autorisé Sky Mavis à signer diverses transactions en son nom. Cela a été interrompu en décembre 2021, mais l'accès à la liste d'autorisation n'a pas été révoqué.
« Une fois que l'attaquant a eu accès aux systèmes Sky Mavis, il a pu obtenir la signature du valideur Axie DAO en utilisant le RPC gas-free.
« Nous avons confirmé que la signature des retraits malveillants correspond aux cinq valideurs présumés ».
Sky Mavis a déclaré qu'il augmentera le nombre de nœuds requis à huit pour les transactions.
« Comme nous l'avons vu, Ronin n'est pas à l'abri d'une attaque et celle-ci a renforcé l'importance de donner la priorité à la sécurité, de rester vigilant et d'atténuer toutes les menaces », a déclaré la société dans son annonce. « Nous savons que la confiance doit être gagnée et nous utilisons toutes les ressources à notre disposition pour déployer les mesures et processus de sécurité les plus sophistiqués afin de prévenir de futures attaques ».
Sky Mavis a déclaré que tous les jetons d'utilisateur sur le réseau Ronin « sont en sécurité en ce moment » et que la société « travaille avec les responsables des forces de l'ordre, des experts en cryptographie et nos investisseurs pour s'assurer que tous les fonds sont récupérés ou remboursés ». Pour l'instant, cependant, les utilisateurs légitimes ne peuvent pas retirer ou déposer des fonds vers ou depuis le réseau Ronin sur Katana (Binance pour sa part a repris les transactions le 2 avril). « Le pont sera ouvert à une date ultérieure une fois que nous serons certains qu'aucun fonds ne pourra être drainé », a déclaré la société.
DeFiYield tient une liste des attaques contre les plateformes DeFi, qui classe l'attaque contre Ronin comme la plus importante, juste devant Poly Network (602 millions de dollars de perte). Whormhole, qui est entré dans le classement en février suite au piratage lui ayant fait perdre 320 millions de dollars, a perdu un rang dans le classement et est désormais la troisième plateforme DeFi à avoir subi la plus grosse perte.
Sources : Ronin, marché des SLP, Axie Infinity (AXS), DefiYield (les plateformes DeFi ayant subi les plus grosses pertes)
Et vous ?
À votre avis, NFT et cryptomonnaies font-ils bon ménage dans les jeux vidéo ? Dans quelle mesure ?Voir aussi :
Wormhole se fait voler 320 millions de dollars d'éther et propose aux hackers une prime de 10 millions de dollars en échange des fonds dérobés et des détails sur la vulnérabilité exploitée Des joueurs de jeux vidéo en colère font pression sur les éditeurs pour qu'ils abandonnent les projets de NFT, qu'ils considèrent comme un outil d'escroquerie Qubit Finance se fait voler 80 millions de dollars en crypto et propose une prime de 250 000 dollars au hacker en échange des fonds volés UK : les grandes entreprises de la tech devraient rembourser les victimes d'escroqueries en ligne dès lors que des cybercriminels attirent leurs victimes par des pubs diffusées sur leurs plateformes