人気BCゲーム「アクシーインフィニティ」、「Ronin Bridge」ハッキングで約750億円被害
ブロックチェーンゲームのアクシーインフィニティ(Axie Infinity)のサイドチェーンであるローニンネットワーク(Ronin Network)で、約750億円規模のハッキング被害が発生していたことが明らかになった。ローニンネットワークの公式サブスタックが情報を3月29日に公開した。具体的にはローニンネットワークへのブリッジ機能を提供する「Ronin Bridge」がハッキングを受けた。なおローニンネットワークは、アクシーインフィニティの運営元であるスカイメイビスが運営しているサイドチェーンだ。
今回ハッキングにより流出したのは173,600ETH(5億9,700万ドル)のイーサ(ETH)と、2,550万ドル相当の米ドルステーブルコインのUSDCだ。具体的にはアクシーインフィニティの親会社であるスカイメイビス(Sky Mavis)のRoninバリデータノードと、Axie DAOバリデータノードがハッキングされた。ちなみにアクシーインフィニティに関連するトークン「AXS、RON、SLP」はハッキングの被害を受けていないとのことだ。
イーサリアムのトランザクション検索サイトであるイーサスキャンを見ると、ハッカーは3月23日に173,000ETHをハッキングしていたと考えられる。つまり業界有識者や各メディアが発信しているように、運営側は6日間ハッキング被害に気づいていなかったと考えられる。公式リリースによれば、運営は3月29日に5000ETHを引き出せないというユーザーからの報告を受けて、今回のハッキングに気付いたという。
公式の発表によると、スカイメイビスのRoninチェーンは現在9つのバリデーターノードで構成されおり、入金イベントや出金イベントを認識するためには、9つのバリデータのうち5つの署名が必要な状態だったとのこと。そしてハッカーはスカイメイビスの4つのRoninバリデータとAxie DAOが運営するサードパーティバリデータを制御することに成功したしてしまったようだ。
ハッキングの原因は、ハッカーがガスフリーRPCノードからサービス利用者に知られることなく、ハッキングのための裏口であるバックドアを見つけて、それを悪用してAxie DAOバリデータの署名を取得されたことにあるようだ。
発表によると、このセキュリティ体制になったのは、2021年11月にスカイメイビスの運営するノードが膨大なユーザー負荷のために、無料トランザクションを配布するためにAxie DAOにも代理署名してもらうようになってからとのこと。
そしてスカイメイビスは、ハッキングを受けたのちの現在の対応策についても説明している。
現在、短期的な被害拡大を防ぐため、バリデータの閾値を5個から8個に増やし、主要な暗号資産(仮想通貨)取引所のセキュリティ・チームと連絡を取り合っており、今後数日のうちにすべての取引所に連絡を取る予定だという。
また再ハッキング防止のため「ローニンブリッジ(Ronin Bridge)」を一時的に停止し、暗号資産取引所バイナンス(Binance)もローニンブリッジを無効にしているとのことだ。今後、資金が流出しないことが確認されれば、ブリッジは後日開放するとのこと。またアクシーインフィニティ独自のDEXである「Katana DEX」の利用も一時的に無効にしているとのこと。
そして盗まれた資金を監視するためにチェイナリシス(Chainalysis)と協力しているとのことだ。
参考:ローニンネットワーク
デザイン:一本寿和
images:iStocks/LuckyStep48