Hack gegen Blockchainspiel Axie Infinity: Über 550 Millionen Euro gestohlen
Cyberganoven haben das Konsensverfahren hinter dem derzeit beliebtesten Blockchainspiel Axie Infinity kapern können und dabei fette Beute gemacht.
(Bild: Axie Infinity)
Das Blockchain-Netzwerk hinter dem Spiel Axie Infinity ist um Kryptowährungen im Wert von rund 550 Millionen Euro bestohlen worden. Insgesamt konnten Unbekannte 173.600 Ether sowie 25,5 Millionen Einheiten des Stablecoins USDC abgreifen, teilten die Betreiber mit. Die Angreifer konnten demnach Validatoren-Nodes im Netzwerk kompromittieren und sich so des Geldes bemächtigen.
Axie Infinity ist ein Spiel mit Pokemon-ähnlichen Figuren, die man züchten und gegeneinander antreten lassen kann. Es ist das derzeit beliebteste Blockchainspiel weltweit. Transfers laufen über Kryptowährungen, auch der Besitz von virtuellen Dingen ist blockchainbasiert. Dafür dient eine Seitenchain des Ethereum-Netzwerks namens Ronin Network. Ebenfalls gehören auch Bridges für den Transfer zwischen den Chains sowie eine dezentrale Börse namens Katana für den Handel mit Spielinhalten und Tokens zum Ökosystem.
Validatoren-Nodes gekapert
Das Ronin-Netzwerk setzt auf Proof-of-Authority als Konsensverfahren. Es braucht also keine Miner, die mit Hashwertberechnungen um Blockeintragungen konkurrieren; stattdessen dürfen nur festgelegte Nodes Transaktionsblöcke für die Chain freigeben. Bisher war es laut Mitteilung der Betreiber die Regel, dass jeweils fünf von neun Nodes ihre Freigabe erteilen müssen. Offenbar konnten sich die Angreifer Zugriff auf genau fünf Nodes sichern. Vier der mutmaßlich betroffenen Nodes seien unter Kontrolle der Betreiber-Firma Sky Mavis gewesen, einer unter Kontrolle der Blockchain-Gesellschaft Axie Dao.
Die Angreifer hätten sich zunächst über Social Engineering den Weg ins Netzwerk gebahnt, erklärte einer der Gründer von Axie Infinity auf Twitter. Ein versehentlich nicht zurückgenommener Eintrag in einer Whitelist habe dann den Angriffsvektor zum fünften Node eröffnet.
Ether aus der Bridge geklaut
Mittels der Nodes hätten sich die Unbekannten dann falsche Abhebungen aus der Bridge beglaubigt und Kasse gemacht. Bridges sind Smart Contracts, die dem komfortablen Wechsel zwischen verschiedenen Blockchains dienen. Man zahlt auf der einen Seite einen Coin wie zum Beispiel Ether ein und erhält auf der anderen Seite einen Gegenwert in Tokens der anderen Chain.
Die eingezahlten Ether sind dann im Smart Contract festgesetzt, bis Nutzer die anderen Tokens zurückgeben, um den Gegenwert in Ether wieder auszulösen. Oder bis Ganoven eine Lücke in der Mechanik finden und ausnutzen – was bereits bei einer Vielzahl von Hacks gegen Kryptogeldplattformen geschehen ist. Oftmals dann auch wie hier mit spektakulär hoher Beute.
Großteil der Beute auf einer Adresse
Der Hack habe bereits am 23. März stattgefunden, sei allerdings er erst am gestrigen Mittwoch aufgefallen. Ein Nutzer habe vergeblich versucht, 5000 Ether auszulösen, und dann die Betreiber benachrichtigt. Nach Entdeckung des Angriffs habe man sofort die Bridges ins Ökosystem sowie die dezentrale Börse deaktiviert. Ebenfalls habe man Ermittlungsbehörden alarmiert und arbeite eng mit diesen zusammen. Ein Großteil der Beute lagert derzeit noch auf einer Ethereum-Adresse. Gemeinsam mit dem Blockchain-Analysedienst Chainalysis wolle man Bewegungen des Geldes nachverfolgen, große Börsenbetreiber seien auch bereits gewarnt.
Die Validatoren-Nodes würden nun auf neue Infrastruktur umgezogen, hieß es von den Axie-Infinity-Machern. Auch werde man kurzfristig die Regel für Blockfreigabe dahin gehend ändern, dass Zustimmung von 8 von 9 Nodes nötig sei. Ebenfalls solle die Zahl der Validatoren-Nodes zukünftig vergrößert werden. Aktuell können Nutzerinnen und Nutzer keine Gelder ins Ronin Network einzahlen oder abheben. Mit allen Teilhabern an Axie Infinity und Sky Mavis liefen nun Diskussionen, wie man am besten fortfahre und sicherstelle, dass keine Kundengelder verloren seien.
(axk)
