Le réseau Ronin et Sky Mavis se sont engagés à mettre à niveau leurs contrats intelligents, à offrir des primes de bogues lucratives et à renforcer la sécurité après le piratage de 600 millions de dollars à la fin du mois dernier.
Comme Cointelegraph l’a signalé précédemment, la chaîne latérale Ethereum développée pour le jeu NFT populaire Axie Infinity a été victime d’un exploit pour 173 600 Ether (ETH) et 25,5 millions de pièces USD (USDC) d’une valeur de plus de 612 millions de dollars à l’époque.
Plus tôt ce mois-ci, le Federal Bureau of Investigation (FBI) a attribué l’attaque au groupe de piratage basé en Corée du Nord et parrainé par l’État, Lazurus, car il a lancé un avertissement à d’autres organisations de crypto et de blockchain.
Ronin a annoncé les changements de sa plate-forme via un rapport post-mortem publié hier, notant que tous les fonds des utilisateurs sont en train d’être restaurés car il s’est engagé à faire en sorte que cela « ne se reproduise plus jamais ».
Nous avons préparé un post-mortem concernant l’exploit de Ronin qui s’est produit le 23 mars.
• Pourquoi c’est arrivé
• Ce que nous faisons pour nous assurer que cela ne se reproduise plus
• Mise à jour sur la réouverture du pont Roninhttps://t.co/FfwCtCG84E— Ronin (@Ronin_Network) 27 avril 2022
Le hack s’est effondré
Le hack était le résultat d’une attaque de spear phishing contre un ancien employé de Sky Mavis (développeurs d’Axie Infinity). Le mauvais acteur a pu tirer parti des informations d’identification de l’employé pour accéder aux quatre nœuds de validation de Sky Mavis sur un total de neuf dans l’écosystème Axie/Ronin.
Cela en soi n’était pas suffisant pour causer des dommages, mais « l’attaquant a trouvé une porte dérobée via notre nœud RPC sans gaz, dont ils ont abusé pour obtenir la signature du validateur Axie DAO ».
«Cela remonte à novembre 2021 lorsque Sky Mavis a demandé l’aide du DAO Axie pour distribuer des transactions gratuites en raison d’une immense charge d’utilisateurs. L’Axie DAO a autorisé Sky Mavis à signer diverses transactions en son nom. Cela a été interrompu en décembre 2021, mais l’accès à la liste d’autorisation n’a pas été révoqué », indique le rapport.
Suite au piratage, de grands changements sont mis en œuvre à la fois chez Sky Mavis et le réseau Ronin.
Ronin
Le réseau Ronin espère rouvrir son pont d’ici la mi-mai à la fin du mois de mai, Binance fournissant un soutien jusque-là avec une infrastructure de retrait et de dépôt pour les utilisateurs d’Axie.
L’équipe est à environ 80 % grâce à la mise à niveau des contrats intelligents du pont Ronin, elle retravaillera le backend, migrera tous les retraits en attente et lancera un tableau de bord de validation qui « permet d’approuver les transactions importantes et d’ajouter/supprimer de nouveaux validateurs ».
« Le pont du réseau Ronin est actuellement en cours de refonte et ouvrira une fois que nous serons convaincus qu’il peut résister à l’épreuve du temps. Nous pensions initialement être en mesure de déployer la mise à niveau d’ici la fin avril, mais ce n’est pas un processus que nous pouvons nous permettre de précipiter.
Lié: Binance récupère 5,8 millions de dollars de fonds liés à l’exploitation du pont Ronin
Ciel Mavis
Sky Mavis renforcera ses mesures de sécurité en sollicitant l’aide d' »experts en sécurité de haut niveau », en effectuant des audits de contrats et en mettant en œuvre des procédures internes plus strictes telles que des formations pour « lutter contre les menaces externes ».
Notamment, il augmentera également considérablement son nombre de nœuds pour aider à décentraliser le projet. Déjà passé de neuf à 11, Sky Mavis a l’intention de porter ce nombre à 21 d’ici trois mois. À plus long terme, le projet envisage plus de 100 nœuds.
Sky Mavis lancera également des primes de bogues pouvant atteindre 1 million de dollars pour tous les pirates informatiques capables de trouver d’autres vulnérabilités.
« Nous reconnaissons l’importance et la valeur des efforts des chercheurs en sécurité pour aider à assurer la sécurité de notre communauté. Sky Mavis offre des primes allant jusqu’à 1 million de dollars pour encourager la divulgation responsable des vulnérabilités de sécurité.