Tựa game Axie Infinity được xem là một trong những câu chuyện “thành công” lớn nhất trong thế giới game NFT. Tuy nhiên giờ đây game tiên phong tích hợp blockchain lại đang gặp phải sự cố chấn động với một trong những vụ trộm lớn nhất trong lịch sử công nghệ. Mạng lưới blockchain Ronin Network đã thông báo về việc có hoạt động khai thác Axie Infinity đã vô tình cho phép một hacker trộm đi số tiền điện tử trị giá khoảng 600 triệu đô la ra khỏi mạng vào vài ngày trước đó.
Công ty Ronin Network thông báo: “Đã có một vi phạm bảo mật trên Mạng Ronin. Đầu ngày hôm nay, chúng tôi đã phát hiện ra rằng vào ngày 23 tháng 3, các nút xác thực Ronin của Sky Mavis và các nút xác thực Axie DAO đã bị xâm phạm, dẫn đến việc có 173.600 Ethereum và 25,5 triệu USDC bị rút khỏi bridge Ronin trong hai giao dịch.”
Đối tượng bị cáo buộc đã sử dụng khóa cá nhân đã hack để ra lệnh rút tiền gian lận. Công ty Ronin cho biết: “kẻ tấn công đã tìm thấy một cửa sau, thông qua nút RPC không có phí gas của chúng tôi, mà họ đã lạm dụng để lấy chữ ký cho trình xác thực Axie DAO.”
Về cơ bản, các “side-chain” của Ronin dành cho các game như Axie Infinity thường sử dụng “9 nút xác thực” để ngăn chặn các giao dịch gian lận. Tuy nhiên, vào tháng 11, do nhu cầu quá lớn của những người chơi Axie mới, Ronin đã dành đặc quyền đặc biệt cho Sky Mavis, công ty phát triển và phát hành game, để họ có thể ký giao dịch thay mặt mình. Chính điều này đã tạo kẻ hở cho phép vụ hack trộm tiền điện tử số lượng lớn này xảy ra.
Được phát hành vào năm 2018, Axie Infinity đã bùng nổ và trở thành tựa game nổi tiếng trên Internet với sự tích hợp NFT và xu hướng phát triển của thị trường game blockchain và metaverse. Axie Infinity đã thu hút 1,8 triệu người dùng hàng ngày vào năm ngoái và phá vỡ doanh số bán NFT lên mức 4 tỷ đô la vào đầu năm nay. Tuy nhiên, tốc độ phát triển quá nhanh cũng tạo ra một mối nguy hiểm từ việc các công ty liên quan đã cắt giảm các bước bảo mật để đáp ưng nhu cầu gia tăng mạnh số lượng người dùng mới.
Công ty Ronin cho biết: “Axie DAO cho phép một số tài khoản trong danh sách Sky Mavis đăng ký các giao dịch khác nhau. Điều này đã bị ngừng vào tháng 12 năm 2021, nhưng quyền truy cập danh sách cho phép đã không bị thu hồi. Sau khi kẻ tấn công có quyền truy cập vào hệ thống Sky Mavis, họ có thể lấy chữ ký từ trình xác thực Axie DAO bằng cách sử dụng RPC không có phí gas."
Ronin đã khóa các tài khoản trong quá trình điều tra vụ hack nghiêm trọng này, đồng nghĩa là không ai có thể lấy tiền ra được ngay cả khi giá RON, token gốc của hệ thống này, đã giảm hơn 25%.
Trước đó, vào tháng 8 năm ngoái, một hacker đã kiếm được hơn 600 triệu đô la từ Poly Network, mặc dù khoản tiền sau đó đã được thu hồi lại. Vào tháng 1, các tin tặc đã rút hơn 30 triệu đô la từ Crypto.com. Hầu hết những khoản tiền đó cũng đã được thu lại. Còn hiện tại vẫn còn chờ xem vụ trộm tiền điện tử giá trị lớn mới nhất này sẽ kết thúc như thế nào.
(Theo kotaku.com)