Axie Infinity développeur Sky Mavis annoncé mardi une violation massive de sa chaîne latérale de crypto-monnaie Ronin. Un attaquant a utilisé des « clés privées piratées » pour percer le réseau de validation de Ronin, dit Sky Mavis, transférant 173 600 ethereum (d’une valeur d’environ 594 millions de dollars aux taux actuels) et 25,5 millions de dollars. dans LE STABLECOIN USDC dans le cadre de l’une des plus grandes violations de l’histoire de la crypto-monnaie.

Pour comprendre la nature de cette violation, laissez-nous vous emmener sur un cours intensif dans la courte histoire de Axie Infinity et le réseau complexe de normes et de technologies cryptographiques qui ont contribué à permettre l’exploit de se produire.

Donc, vous pouvez, comme, gagner de l’argent en jouant à un jeu?

Axie Infinity a été cité comme l’une des premières réussites dans ce qu’on appelle le jeu blockchain. Ces jeux utilisent des protocoles décentralisés pour suivre la propriété de certains objets dans le jeu et laissent généralement les joueurs avoir un certain contrôle sur la revente de ces objets.

Pour jouer Axie Infinity, les joueurs doivent acheter au moins trois NFT d’Axies jouables dans le jeu sur le marché libre (ou les emprunter aux propriétaires). Jouer avec ces Axies permet ensuite aux joueurs de gagner des Smooth Love Potions (SLP), qui peuvent alimenter les Axies ou être vendues à d’autres joueurs. en tant que marchandise, créant une boucle « jouer pour gagner ».

L’année dernière, il y a eu suffisamment de battage médiatique et d’argent qui a coulé à travers ce système pour que certains joueurs aux Philippines ont pu gagner un salaire local décent simplement en jouant au jeu comme leur travail à temps plein. Mais ce succès précoce a contribué à attirer plus de joueurs qui espéraient monter dans le train du jeu pour gagner, ce qui a inondé le marché de SLP.

Avec peu de nouveaux acheteurs qui viennent acheter tous ces SLP, la valeur des potions (en dollars) a grimpé d’environ 80% depuis début novembre et de 95% par rapport à son pic de mai dernier. selon CoinGecko. Au fur et à mesure que la valeur du SLP s’est effondrée, il en a été de même pour le nombre d’actifs quotidiens Axie Infinity Joueurs et le nombre de nouveaux joueurs achetant de nouveaux Axies.

(Pour en savoir plus sur le fonctionnement de l’économie Axie et sur la façon dont elle s’effondre sans nouveaux acteurs qui souhaitent acheter des SLP, lisez ce long rapport du cabinet de conseil Naavik.)

Le maillon faible de la chaîne (latérale)

Pendant que Axie Infinity à l’origine exécuté directement sur la blockchain ethereum, le coûts de transaction élevés et les vitesses de transaction lentes sur ce réseau sont rapidement devenues intenables à mesure que le jeu grandissait. Pour contourner ces frais, Sky Mavis a commencé en 2020 à utiliser une sidechain , une blockchain privée parallèle fonctionnant au-dessus d’ethereum qui pourrait contourner la nécessité de payer du « gaz » ethereum pour chaque transaction.

Sky Mavis s’est initialement associé à Réseaux Loom pour cette fonctionnalité de sidechain. En mars 2020, cependant, la société a rompu ce partenariat et introduit sa propre sidechain appelée Ronin.

Contrairement à la blockchain ethereum de preuve de travail distribuée, la sidechain Ronin fonctionne sur un système de preuve d’autorité beaucoup plus centralisé. Plutôt que de consulter l’ensemble du réseau blockchain distribué pour confirmer les transactions, ce système de preuve d’autorité exécute ses transactions via un petit ensemble de nœuds « validateurs » fiables et triés sur le volet. Chaque nœud mise une partie de sa réputation sur la validation de chaque transaction, punissant théoriquement les acteurs solitaires qui tentent de jouer avec le système.

Échanges centralisés comme Binance et des échanges décentralisés comme Katana permettre aux utilisateurs un « pont » pour transférer leurs actifs dans le jeu entre Ronin et la blockchain principale d’ethereum. Mais parce que ces transferts peuvent se produire moÀ l’occasion et à grande échelle, les coûts de transaction finissent par être beaucoup plus bas.

Le système de preuve d’autorité de Ronin, centralisé en seulement neuf nœuds de validation, est la clé de sa capacité à fournir un volume plus élevé de transactions à un coût beaucoup plus bas que le réseau tentaculaire d’ethereum. Cela a également fini par être le point faible de Ronin, dans ce cas.

Sous le nom de Sky Mavis Explique, l’attaquant inconnu a pu violer les systèmes de Sky Mavis et obtenir un accès complet à quatre nœuds de validation contrôlés par la société. L’attaquant a ensuite pu utiliser une porte dérobée restante dans ces nœuds pour prendre le contrôle d’un autre validateur contrôlé par le décentralisé Axie DAO.

Avec ce cinquième nœud de validation, l’attaquant pouvait alors fournir une majorité de signatures de validation sur toute transaction qu’il souhaitait, conduisant aux transferts frauduleux.