Les pirates volent plus de 615 millions de dollars au réseau Ronin soutenant le jeu populaire Axie Infinity

Les Pirates Volent Plus De 615 Millions De Dollars Au

Dans le contexte : l’espace de la crypto-monnaie a longtemps été entaché de stratagèmes de Ponzi, de fraudes, d’escroqueries anti-consommateurs et de nombreuses escroqueries à la sortie. Avec l’avènement des NFT et des jeux blockchain, la situation semble s’aggraver, des centaines de millions s’évaporant des personnes qui ont fait confiance à ces technologies financières jeunes et en développement.

Aujourd’hui, le développeur d’un jeu populaire appelé Axie Infinity a annoncé qu’il avait subi une grave violation de sa chaîne latérale de crypto-monnaie Ronin. L’acteur malveillant a utilisé des « clés privées piratées » pour pénétrer dans le réseau de validation Ronin de Sky Mavis. Le pirate a volé pas moins de 173 600 ETH (586 millions de dollars au moment d’écrire ces lignes) et 25,5 millions de dollars supplémentaires en USDC, une pièce stable indexée sur la valeur du dollar américain.

Ce piratage n’est pas le premier braquage de crypto-monnaie, mais c’est facilement l’un des plus importants. C’est plus important que le vol de 611 millions de dollars qui s’est produit sur le réseau Poly en août 2021, l’une des plus grandes plateformes de finance dite décentralisée.

Les pirates volent plus de 615 millions de dollars au

Pour le contexte, Axie Infinity est un jeu de jeu qui s’appuie sur une chaîne latérale Ethereum appelée Ronin pour son système de récompense. Pour jouer à Axie Infinity, il faut acheter au moins trois créatures appelées « Axies » et les utiliser pour gagner des « Smooth Love Potions ». Ceux-ci peuvent être utilisés pour alimenter les Axies ou vendus à d’autres joueurs. En bref, les utilisateurs peuvent échanger ETH ou USDC contre des versions « encapsulées » qu’ils peuvent utiliser sur une blockchain plus rapide et plus accessible pour effectuer des achats NFT dans le jeu.

Axie Infinity a été annoncée comme l’une des premières réussites dans l’espace de jeu blockchain, car elle a réussi à attirer plus de 8 millions de joueurs dans sa boucle de jeu pour gagner à son apogée. L’immense battage médiatique autour du jeu a même permis à certains joueurs aux Philippines de générer un revenu décent selon les normes locales. Cependant, ces derniers temps, le nombre de joueurs actifs a considérablement diminué.

1648672569 984 Les pirates volent plus de 615 millions de dollars au

Le problème qui a conduit au piratage était que les chaînes latérales comme Ronin ne sont pas aussi décentralisées, car elles reposent sur un soi-disant système de preuve d’autorité. Dans le cas de Ronin, il est contrôlé par neuf nœuds validateurs qui régulent les transactions en jalonnant leur réputation. Pour parvenir à un consensus sur les échanges, cinq d’entre eux doivent s’entendre pour qu’un dépôt ou un retrait puisse être autorisé.

Sky Mavis gère quatre de ces nœuds, tandis que des tiers contrôlent le reste. En novembre 2021, Sky Mavis a demandé à l’organisation autonome décentralisée Axie (DAO) de l’aider à distribuer des transactions gratuites en raison de l’énorme demande des utilisateurs. À cette fin, l’Axie DAO a placé Sky Mavis sur une « liste d’autorisation » afin qu’elle puisse signer des transactions en son nom, un comportement qui s’est poursuivi jusqu’en décembre 2021.

Il s’avère que la liste d’autorisation a persisté après cela, permettant à l’attaquant d’obtenir le contrôle majoritaire du réseau Ronin – en d’autres termes, le pouvoir d’approuver toute transaction souhaitée par le mauvais acteur. Alors que l’attaque a eu lieu le 23 mars, elle n’a été découverte que mardi, lorsqu’un utilisateur n’a pas pu retirer 5 000 ETH. À ce stade, l’exploiteur qui a utilisé des clés privées piratées pourrait falsifier suffisamment de faux retraits pour faire plus de la moitié du chemin vers le milliardaire.

1648672570 180 Les pirates volent plus de 615 millions de dollars au

Cet incident met en évidence les risques inhérents présents dans les solutions de couche 2 comme le réseau Ronin. Le mécanisme de consensus de preuve de travail tant décrié d’Ethereum ne permet qu’une capacité de transaction relativement limitée avec des frais élevés tout en consommant une énergie énorme pour valider ces transactions. Les ponts inter-chaînes comme celui construit par Sky Mavis atténuent ces problèmes mais introduisent une surface d’attaque plus élevée pour les pirates.

La société a suspendu le pont Ronin pour s’assurer qu’aucun autre faux retrait n’est effectué et travaille actuellement avec Chainalysis pour surveiller les fonds volés. Il travaille également avec les forces de l’ordre et divers organismes gouvernementaux pour attraper la personne ou le groupe responsable de l’attaque et a promis que les utilisateurs finiraient par récupérer leurs fonds ou seraient remboursés.

La majorité des fonds volés se trouvent actuellement dans un portefeuille Ethereum. Cependant, des milliers d’ETH ont déjà été transférés vers d’autres adresses via des échanges, ce qui signifie qu’il est possible qu’ils puissent être retrouvés par ceux qui enquêtent sur la question.