مبلغ رکوردشکنی 624 میلیون دلاری از طریق حمله اجماع به شبکه رونین اکسی انفینیتی (Axie Infinity) به سرقت رفت.

تابلوی امتیازات Rekt رتبه برتر جدید را کسب کرد

به گزارش رِکت نیوز (Rekt.news)، این هک به مدت شش روز مورد توجه قرار نگرفت و تنها روز گذشته کشف شد، زیرا یک کاربر نتوانست 5000 ETH را از میان زنجیره ای رونین برداشت کند. از این رو تابلوی امتیازات رِکت (Rekt) که بزرگترین هک های DeFi را به ترتیب حجم سرقت شده فهرست می کند، به تازگی شاهد یک رکورد جدید است. این هک به سختی از هک شبکه پلی (Poly Network) در آگوست 2021 پیشی گرفت که طی آن در مجموع 611 میلیون دلار به سرقت رفت.

نشانگر رِکت

0x098b716b8aaf21512996dc57eb0615e2383e2f96  آدرس کیف پول مورد استفاده مهاجم است. ظاهراً این کیف پول در ابتدا توسط یک حساب بایننس (Binance) تأمین مالی شده و بخشی از مبلغ سرقت شده به اف تی اکس (FTX) و وب سایت کریپتو (Crypto.com) منتقل شده است. رونین از طریق توییتر اعلام کرد که هر سه صرافی مایل به همکاری با آنها هستند و با مقامات مجری قانون، رمزنگاران جنایی و سرمایه گذاران خود در تلاش برای بازیابی وجوه سرقت شده همکاری می کنند.

در این رابطه بخوانید‌ : ریپل استیبل کوین خود با پشتوانه دلار را راه اندازی خواهد کرد

آیا رونین خیلی متمرکز بود؟

شبکه  رونین (Ronin Network) به عنوان یک زنجیره جانبی اتریوم در ژانویه 2022 راه اندازی شد تا تراکنش های بدون کارمزد را برای اکسی انفینیتی و سایر بازی های بازی برای کسب درآمد فراهم کند. زنجیره جانبی تحت یک مکانیسم اجماع اثبات اعتبار تنها با 9 اعتباردهنده کار می کرد که از این میان 4 اعتباردهنده توسط اسکای ماویس (Sky Mavis) کنترل می شد.

از آنجایی که بلوک‌های روی رونین فقط به اجماع اکثریت ساده نیاز داشتند، مهاجم فقط باید گره‌های اسکای ماویس را به خطر بیاندازد تا کنترل کامل شبکه را بدست گیرند. بدتر از آن، اعتبارسنجی دیگری که توسط اَکسی دائو (Axie DAO) اداره می شود، اسکای ماویس را در لیست سفید قرار داده بود تا از نوامبر تا دسامبر 2021 بلوک هایی را از طرف آنها امضا کند. با این حال، طبق هشدار جامعه رونین، این مجوز هرگز لغو نشد، و به هکر اکثریت اجماع لازم را داد.

این هشدار بیان می‌کند که آستانه اجماع اکنون به هشت مورد از نه اعتبارسنجی افزایش یافته است، اما این عمل برای جلوگیری از اتفاقات بد بسیار دیر است. در اوایل این ماه، شرکت حسابرسی بلاک چین سرتیک (CertiK) دقیقاً در مورد این مسائل هشدار داد و گفت که خطرات متمرکز سازی رایج ترین ضعف دیفای (DeFi) است. رِکت همچنین در پایان با بیان اینکه این مورد نشان دهنده اهمیت تمرکززدایی است، افزود:

«این دزدی نه تنها به خاطر اندازه اش، بلکه به خاطر عدم آگاهی عجیب تیم رونین به یاد خواهد ماند. غیرقابل تصور است که زیرساخت های کلیدی آنها نظارت نشده باشد، و تنها چند روز بعد از سوی یک کاربر نگران هشدار دریافت کرده باشند.»