로닌 네트워크(Ronin Network) - REKT

폴리 네트워크가 일등에서 물러났습니다

약 6억 2400만 달러가 로닌 네트워크에서 도난당했습니다.

그리고 6일 동안 아무도 몰랐습니다..

로닌 팀이 뒤늦게 도난당한 사실을 알아채고 나서, 다음과 같은 공지사항을 발표했습니다:

“저희는 오늘 아침에 한 유저가 브릿지에서 5,000 ETH를 출금할 수 없다는 문의를 받고 나서 공격받았다는 사실을 확인했습니다.”

거의 일주일 전에 이미 브릿지에서 돈이 빠져나갔다는 사실을 깨달은 로닌 팀의 기분을 상상해봅시다.

새롭게 발생한 역사상 가장 금액이 큰 암호화폐 해킹 사건입니다.

하지만 공격자는 자금 세탁을 할 수 있을까요?

떠오르는 엑시 인피니티의 인기에 힘입어, 로닌은 2021년 2월에 p2e 게임의 운영을 위해 필연적인 값싼 트랜잭션을 제공하는 이더리움 사이드 체인으로 런칭되었습니다.

TPS를 최대화하기 위해 자금이나 전력으로 처리하지 않고 단지 아홉 개의 검증자로 이루어진 권한증명방식을 사용함으로써, 탈중앙화의 성격과 신뢰할 필요가 없는 성격은 무시되었습니다.

아홉 개의 검증자 중에서, 다섯 개의 검증자가 컨센서스를 이루면 입금과 출금 트랜잭션이 승인되었습니다.

네 개의 검증자는 Sky Mavis에 의해 운영되었고, 이는 보안에 구멍이 뚫렸을 때 단 하나의 서명만 더 있으면 네트워크를 통제할 수 있음을 의미합니다.

공식 커뮤니티 경보에는 Sky Mavis의 검증자가 어떻게 공격당했는지는 자세하게 나와 있지는 않지만, 공격자가 다섯 번째 서명에 대한 통제권을 갖게 만든 취약점에 대해서는 언급하고 있습니다.

공격자는 작년 11월에 Sky Mavis와 엑시 DAO가 맺은 협정 때문에 추가 검증자에 대한 접근이 가능했습니다. AXS 가격이 폭등하면서 네트워크 트래픽이 과부하에 걸린 기간에, 유저들의 비용을 줄여주기 위해 생성된 무료-가스 RPC 노드가 그것입니다.

이를 위해서는 엑시 DAO가 Sky Mavis 검증자를 대신하여 트랜잭션에 서명하도록 승인해야 했습니다.

협정은 해당 달까지만 진행되는 것이었지만, 화이트리스트 접근은 취소된 적이 없었으며, 이는 Sky Mavis 검증자를 공격한 공격자가 트랜잭션을 승인하기 위한 추가적인 (엑시 DAO) 서명을 사용할 수 있도록 만들었습니다.

공격자 는, 첫 번째로 173,600 ETH의 출금을 승인하였고, 그다음 로닌 브릿지 컨트랙트에서 2550만 USDC 출금을 승인하였습니다. 2550만 USDC는 메인 지갑에 되돌아오기 전에 다른 주소 에서 ETH으로 스왑되었습니다.

아마도 추적을 어렵게하기 위해서, 6250 ETH는 지갑에서 FTX와 Crypto.com으로 전송되었습니다. 또한 이 주소는 처음에 자금을 바이낸스로 부터 받았으나, KYC가 진행된 계정을 얻는 것은 어렵지 않은 일이기는 합니다.

나머지 자금은 아직 공격자의 주소에 남아있습니다:

0x098b716b8aaf21512996dc57eb0615e2383e2f96

이번 도난 사건은 단지 그 규모뿐만 아니라, 로닌 팀이 보인 믿기 어려운 자기 인식의 관점에서 기억될 것입니다.

가장 중요한 구조가 모니터링 되고 있지 않았다는 사실은 상상도 할 수 없는 일이며, 더구나 며칠 후에 출금이 되지 않아 걱정하는 유저에 의해 알려졌다는 사실은 더더욱 상상하기 어려운 일입니다.

그들의 공식 발표에 따르면, Sky Mavis는 트랜잭션의 승인을 위해서 “우리는 나아가야 합니다, 기준을 아홉 개 중에 여덟 개로 늘리겠습니다” 라고 말했다고 합니다.

하지만 이것은 이번 사건이 공식적으로 발표되기 11시간 전에야 시행되었습니다.

이미 없어진 지 일주일이 되었는데 급할 필요는 없겠죠…

대부분 사람이 그것의 중요성에 동의하지만, 탈중앙화는 때때로 거래할 때의 아드레날린과 이익 추구에 대한 도덕적 방해로 여겨집니다.

이번 사건은 탈중앙화의 진정한 중요성을 보여줍니다.

로닌 검증자 세트를 더 확장하지 않는 이유는 무엇일까요?

웜홀 사건에서 보듯이, 고래가 돈을 잃을 것 같다면, 긴급 구제가 문제는 아닙니다.

엑시는 GameFi 시장의 선두에 있는데, 과연 이번 사건이 전체 생태계의 위험성 단계를 나타내는 것일까요?

만약 그렇다면, 누가 6억 2400만 달러를 구제해줄 수 있을까요?

REKT는 익명 작성자들에 의한 공공 플랫폼이며, REKT에 작성된 관점이나 내용에 대해서 그 어떤 책임도 지지 않습니다.

기부 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

disclaimer:

REKT는 당사 웹 사이트의 익명의 작성자 또는 REKT에 의해 게시되거나 관련된 서비스에서 게시되는 콘텐츠에 대해 어떠한 책임도 지지 않습니다. 당사는 익명 작성자들의 행동 및 게시물에 대한 규칙을 제공하지만, 익명의 작성자가 웹 사이트 또는 서비스에 게시, 전송 혹은 공유한 내용을 통제하거나 책임지지 않으며, 귀하가 웹 사이트 또는 서비스에서 직면할 수 있는 불쾌함, 부적절함, 음란함, 불법 또는 기타 해로운 콘텐츠에 대해서도 책임을 지지 않습니다. REKT는 당사 웹 사이트 또는 서비스 사용자의 온라인 또는 오프라인 행위에 대한 책임을 지지 않습니다.