Lỗ hổng blockchain 625 triệu USD của Axie Infinity
Sky Mavis, nhà phát triển tựa game NFT Axie Infinity, đã công bố về vụ việc hacker lấy trộm 625 triệu USD tiền mã hóa qua lỗ hổng bảo mật của nền tảng blockchain Ronin.
Toàn bộ lượng tiền mã hóa lên tới 625 triệu USD đã bị hacker lấy trộm và rút ra khỏi mạng lưới từ ngày 23/3 vừa qua nền tảng game Axie Infinity. Ảnh Axie Infinity
Theo thông tin cụ thể hơn từ phía Sky Mavis, hãng vận hành blockchain Ronin và tựa game Axie Infinity đã công bố về lỗ hổng này và đóng băng các giao dịch, bao gồm gửi và rút tiền thông qua blockchain này chỉ trong tối qua (29/3). Hiện nay, Sky Mavis đang làm việc với các cơ quan pháp luật nhằm lấy lại khoản tiền mã hóa 173.600 ETH (tương đương 600 triệu USD) và 25,5 triệu USDC (một loại stablecoin với trị giá ngang 1 USD).
Hacker đã sử dụng các khóa bảo vệ riêng tư đã bị hack để xâm phạm các node xác thực giao dịch trong mạng lưới blockchain. Ảnh Internet
Các node xác thực đảm nhiệm việc xem xét giao dịch để xác thực các dữ kiện ra vào mạng lưới và chữ ký ủy quyền, cũng như từ chối các giao dịch không phù hợp. Nhưng đó cũng chính là lỗ hổng lớn cho phép hacker có thể rút một lượng lớn tiền mã hóa ra khỏi mạng lưới mà không bị phát hiện, là một phần lý do vì sao chỉ gần một tuần sự việc mới bị phát hiện khi một người dùng cố gắng rút 5.000 ETH thông qua chuỗi blockchain Ronin.
Sky Mavis tuy nhiên cho rằng các token NFT Axie mà người chơi phải mua để truy cập được vào Axie Infinity lại không bị ảnh hưởng bởi cuộc tần công này. Bên cạnh đó, các tiền mã hóa SLP và AXS trong game được sử dụng cho việc chiến đấu và chăn nuôi các nhân vật hoạt hình trong thể thực hiện các giao dịch trên trò chơi này.
Ngoài ra ảnh hưởng lớn nhất từ cuộc tấn công này là đặt ra nghi vấn về khả năng bảo mật của blockchain Ronin. Ảnh CBBN
Ronin sử dụng các node xác thực, vốn ít tiêu tốn năng lượng hơn các blockchain dạng proof-of-concept như Bitcoin và Ethereum. Với tính chất ít node, Ronin chạy nhanh hơn và đảm bảo hiệu quả năng lượng nhiều hơn, tuy nhiên vẫn tiềm ẩn ẩn rủi ro bảo mật bởi nếu một lượng đáng kể các node bị xâm phạm để rút tiền trái phép ra khỏi hệ thống mà không ai biết, những sự việc như lần này sẽ vẫn còn có thể tiếp diễn.
Một trong những nguyên nhân khác dẫn tới lỗ hổng của chuỗi blockchain Ronin là lối tắt để giảm nhẹ "tải công việc từ lượng người dùng khổng lồ" trên mạng lưới của mình. Tuy rằng hệ thống này đã bị ngừng hoạt động vào tháng 12 năm trước, nhưng Sky Mavis không thu hồi các hoạt động có phép trên đó, dẫn tới 4 node của bên này sở hữu bị xâm phạm. Ngoài ra, hacker còn khai thác các node để lấy quyền truy cập vào một node của bộ truy cập dữ liệu Axie DAO. Nắm giữ 5 trong tổng cộng 9 node xác thực, hacker có thể xâm phạm tới bất kỳ giao dịch nào và thực hiện giao dịch bất kỳ khoản tiền nào.
