Blockchain

Como a Sky Mavis perdeu R$3 bilhões no maior hack da história

A Ronin, sidechain criada pela Sky Mavis, sofreu o maior hack da história das DeFi’s, perdendo um total R$3 bilhões de sua rede.

Hoje (29), a equipe desenvolvedora da Ronin Network divulgou em seu Substack um boletim informando que a rede sofreu um ataque que subtraiu um total de $625 milhões de contas privadas (sendo 173.600 Ethereum e 25,5 milhões de USDC).

A Ronin Network funciona como uma sidechain vinculada ao Ethereum que auxilia as transações realizadas em jogos construídos pela Sky Mavis, a desenvolvedora por trás do Axie Infinity.

O hack está sendo considerado como o maior ataque da história das Finanças Descentralizadas (DeFi’s), podendo comprometer profundamente as operações da Sky Mavis, que levantou $150 milhões em uma rodada de investimentos no ano passado.

Aqui explicamos a engenharia por roubo de quase R$3 bilhões da rede da Ronin: 

Proof Of Autority (PoA) e anatomia da Ronin

Desenhada essencialmente para resolver os problemas relacionados às altas taxas requeridas pela rede Ethereum, a Ronin tem transações rápidas que possibilitam que os jogadores transfiram ativos Axie sem limitação graças a Ronin Bridge, que realiza a ponte entre a blockchain do Ethereum.

Para isso, a blockchain da Ronin utiliza o sistema de PoA, que se baseia na concentração das chaves validadoras em até 25 nodes (no caso da Ronin, são 9 validadores).

De forma simples, para uma transação ser realizada na rede, é necessário que a maioria entre os 9 validadores forneçam o aval para a movimentação dos fundos.

O hacker em questão obteve acesso completo ao sistema da Sky Mavis, que possuía 4 validadores entre os 9, e a partir disso, utilizou um resquício de uma ferramenta utilizada pelos desenvolvedores para conseguir acesso ao quinto validador e desenvolver o hack.

Em novembro de 2021 a Sky Mavis solicitou ajuda do Axie DAO, organização responsável por outro validador, para distribuir transações gratuitas devido a imensa carga de usuários da rede.

O Axie DAO permitiu a Sky Mavis realizar as transações em seu nome, e o processo foi interrompido em dezembro de 2021, mas o acesso a chave continuou no sistema da Sky Mavis.

Logo, o invasor que tinha acesso aos sistemas da Sky Mavis conseguiu revogar o acesso do validador da Axie DAO, passando a possuir a maioria dos 9 validadores.

A partir disso, o hacker solicitou vários saques falsos que foram aprovados pelos validadores e fugiu com um total de $625 milhões, dos quais $598 milhões permanecem até o momento nesse endereço.

Notícias relacionadas

Quer aprender a investir em criptoativos na bolsa, de forma prática e inteligente? Nós preparamos um curso gratuito com o passo a passo. Clique aqui para acessar.