イーサリアムベースの人気Play to Earnゲーム「Axie Infinity」を支えるブロックチェーン「Ronin」がハッキングされ、5億ドル以上の被害が発生したことが明らかになりました。
ハッキングの概要
Rominネットワークは、イーサリアムベースのAxie Infinityとのやり取りを少しでも安価にするために2021年に立ち上げられたブロックチェーンです。イーサリアムで何をするにも手数料がかかるのに対し、Rominではユーザー、一人につき1日100件の無料トランザクションが可能です。
盗まれた資金は攻撃時に5億4,000万ドルに達していましたが、火曜日の時点で6億1,500万ドルに増加し、暗号資産のハッキングで2番目に大きな規模となりました。
Roninのブログ記事によると、ハッカーは173,600ETHと2,550万米ドルコイン(USDC)を持ち逃げしました。この攻撃は、Axie InfinityのTwitterページでも確認されました。Rominはブログの投稿の段階で、盗まれた資金を追跡するためにブロックチェーン追跡会社のChainalysisと協力していると述べています。また、法務執行機関とも連携していることも明らかにしています。
ハッキングを時系列で解説
ハッカーは、Axie InfinityのパブリッシャーであるSky Mavisが開発したイーサリアム互換のブロックチェーンであるRomin Networkに侵入しました。Axie Infinityの共同設立者であるJeff Zirlin氏は、NFT LAカンファレンスの基調講演のステージで、このハッキングについて説明しています。
Roninの開発者によると、攻撃者は偽の引き出しを偽造するためにハッキングされた秘密鍵を使用し、わずか2回の取引でRoninブリッジから資金を流出させました。
ハッキングは3月23日に発生しましたが、あるユーザーがRoninブリッジからETH約5,000ドル分を引き出すのに失敗したことで、問題が発覚したとされるため、3/29(火)に発見されました。
Roninのサイドチェーンには、引き出しに5つの署名を必要する9つのバリデータがあり、この種の攻撃をから保護するためのものであり、ブログ記事では、「Play to EarnゲームのDAO(分散型自立組織)が提供するバックドアの抜け道を通じて、署名を取得した」と記しています。
ブログ記事によると、同ネットワークは「ユーザーの資金が失われないようにする」ことを約束したとのことです。盗まれた資金のほとんどは、現在ハッカーの暗号ウォレットに残っているそうです。
2回目の取引で奪われた資金は、ハッカーのデジタルウォレットまで遡ることが出来ています。開発者のKelvin Fitcher氏によると、イーサリアムの一部は仮想通貨取引所であるFTXの口座に預けられています。
バリデーターノードとは
バリデーターノードは、ビットコインやイーサリアムのようなプルーフ・オブ・ワークシステムよりもエネルギー消費が少ない,Roninのようなプルーフ・オブ・ステークシステムの機能です。このノードは新しい取引を審査して、入力と出力が一致しているか、認証署名が有効かどうかを確認し、適合しない取引を拒否します。
しかし、今回のハッキングが示すように、ノードの過半数が侵害された場合、セキュリティリスクが生じる可能性があります。イーサリアムよりも安価で環境に優しいとされるブロックチェーンにとって、これは潜在的な脆弱性になります。