Un total d’environ 625 millions de dollars en bitcoins a été dérobé à Ronin, la blockchain qui alimente le célèbre jeu de crypto-monnaies Axie Infinity. Sky Mavis, l’opérateur de Ronin et d’Axie Infinity, a révélé le piratage mardi et a bloqué les transactions sur le pont Ronin, qui permet de déposer et de retirer des fonds de la blockchain de la société.
Sky Mavis a déclaré qu’elle collaborait avec les autorités judiciaires pour récupérer 173 600 Ethereum (d’une valeur d’environ 600 millions de dollars au moment de la rédaction de cet article) et 25,5 millions d’USDC (une crypto-monnaie liée au dollar américain) auprès de l’auteur du piratage, qui les a retirés du réseau le 23 mars.
Le piratage visait le réseau Ronin de Sky Mavis, qui sert de pont entre Axie Infinity et d’autres blockchains de crypto-monnaies comme Ethereum. Les utilisateurs peuvent financer Ronin avec de l’Ethereum ou de l’USDC, puis acheter des produits de jetons non fongibles ou de la monnaie de jeu, ou bien ils peuvent encaisser leurs actifs de jeu.
Selon Sky Mavis, un attaquant a compromis les nœuds du réseau qui vérifient les transactions vers et depuis la blockchain Ronin en utilisant des clés de sécurité privées détournées. Cela a permis à l’attaquant de retirer d’importantes quantités d’Ethereum et d’USDC de manière furtive. La transaction a été découverte aujourd’hui, plus d’une semaine après qu’elle se soit produite, lorsqu’un autre utilisateur a tenté de retirer 5 000 Ethereum via le pont.
« Comme nous l’avons vu, ronin n’est pas imperméable à l’exploitation »
Sky Mavis affirme que ni les jetons NFT « axie » nécessaires pour accéder à Axie Infinity ni les crypto-monnaies SLP et AXS utilisées dans le jeu pour combattre et élever les axolotls de dessin animé ressemblant à des pokémons n’ont été piratés. (Divulgation : Adi a dépensé 105 $ le mois dernier pour trois axies afin de faire un reportage sur le jeu ; les axies se négocient actuellement à environ 25 $ l’unité).
Cependant, la suspension des retraits et des dépôts exclut de fait un grand nombre de nouveaux participants, et l’attaque remet en question le statut des autres liquidités des utilisateurs sur la blockchain Ronin. Sky Mavis a déclaré qu’elle « collabore avec les forces de l’ordre, les cryptographes judiciaires et nos investisseurs pour s’assurer qu’aucun fonds d’utilisateur n’est perdu », ce qu’elle décrit comme une « haute priorité ».
Les nœuds de validation sont une caractéristique des blockchains proof-of-stake comme Ronin, qui consomment moins d’énergie que les systèmes proof-of-work comme Bitcoin et Ethereum. Les nœuds examinent les nouvelles transactions pour s’assurer que leurs entrées et sorties correspondent et que leurs signatures d’autorisation sont légitimes, et rejettent celles qui ne sont pas conformes.
Si l’utilisation d’un nombre réduit de nœuds est plus rapide et plus efficace, comme l’a démontré l’attaque, elle peut poser des problèmes de sécurité si la majorité des nœuds sont piratés. Il s’agit d’une faiblesse potentielle pour les blockchains commercialisées comme étant plus abordables et plus écologiques qu’Ethereum.
Les nœuds de validation sont un élément essentiel des blockchains à faible consommation d’énergie
Selon Sky Mavis, l’attaque de Ronin a été rendue possible en partie par un raccourci pris par l’entreprise en novembre de l’année dernière pour alléger une « immense charge d’utilisateurs » sur son réseau – des mois après l’explosion de la popularité du jeu aux Philippines et dans d’autres pays où les joueurs en dépendaient comme d’un emploi à temps plein.
Bien que le système ait été fermé en décembre, les autorisations qui lui permettaient de fonctionner n’ont jamais été supprimées. En plus de compromettre quatre des nœuds de Sky Mavis, l’attaquant les a utilisés pour accéder à un nœud administré par la DAO communautaire Axie. Après avoir compromis cinq des neuf nœuds de validation, l’attaquant peut essentiellement contourner toute la sécurité des transactions et extraire de l’argent.
Sky Mavis a déclaré qu’elle allait augmenter à huit le nombre minimum de nœuds nécessaires aux transactions et qu’elle rouvrirait le pont Ronin « à une date ultérieure » si elle était convaincue qu’aucune autre sortie d’argent ne pouvait avoir lieu. Pour l’instant, la violation de Ronin semble être la plus grande attaque de réseaux « financiers décentralisés » à ce jour, après le vol de 322 millions de dollars du protocole Wormhole bridge le mois dernier.
« Comme cela a été démontré, Ronin n’est pas imperméable à l’exploitation, et cet assaut réaffirme la nature critique de la priorité accordée à la sécurité, de l’attention et de l’atténuation de tous les risques », a déclaré l’entreprise dans son communiqué. « Nous reconnaissons que la confiance doit être gagnée et nous déployons les systèmes et processus de sécurité les plus avancés disponibles pour éviter de telles attaques. »