Topic: Axie infinity - O maior blockchain game na rede da ethereum - page 5. (Read 6634 times)

O funcionário que permito a criação da blackdoor para o hack, já não trabalha lá...
E estão a melhorar os procedimentos internos, para evitar situações futuras.

Aprender com os erros e melhorar, faz parte do processo de crescimento.

saiu o post-mortem do hack na ronin

Back to Building: Ronin Security Breach Postmortem

ainda não li mas achei que poderia interessar
chegaram a ver?
vou ler agora.

como comentei ali em cima, o tornado tem volume mais que suficiente pra absorver isso, acho que ele poderia limpar a grana em meses, não necessariamente em anos.

continuo achando bizarro os devs terem dado esse mole
mas dizem que a fênix sempre renasce mais forte das cinzas... ou talvez não mais forte, mas renasce hahaha

Eles anunciaram essa semana que levantaram 150 milhões de dolares com a binance, animoca e outros parceiros e já tem um plano para restaurar a funcionalidade da bridge.

Dá para lavar se for feito em lotes pequenos, pode é demorar anos.
A pergunta agora é se o hacker tem a paciência necessária para esperar e ir limpando gradualmente.
Mas normalmente esses indevidos, não querem esperar.

realmente, difícil saber sem divulgarem os detalhes
mas E SE eram ambientes isolados e o hacker conseguiu acesso a todos? (altamente improvável, mas provavel que seja o exemplo que vc deu, 4/9 com 4 no mesmo lugar, não imagino que estaria tão vulnerável quanto um pc do facebook mas dado o que aconteceu estava vulnerável o suficiente)

e parece que o hacker não tá interessado num bounty e sim em pegar a grana mesmo, será que eles tem alguma pista de quem é?

dá pra lavar esse dinheiro todo usando mixers?

- por curiosidade fui procurar
no Tornado mesmo já daria, tem 2.7 milhões de ETH depositados
Já vi alguém comentando que o breadcrumbs poderia quebrar a anonimização do tornado mas não vi nada que realmente comprovasse isso.
No Chipmixer não encontrei o volume, nem sei se eles são o maior mixer de btc, inclusive.

Se pensarmos bem, nem precisam disso.
Na Dark Web, existe muitos dados KYC a venda, que foram roubados de algum lado. Enfim, formas de fazer golpes não há muitos, é só preciso ter a coragem e saber o que fazer.

Respondendo a sua pergunta, acho que pode ter sido um ataque interno sim... só achei estranho terem vazado acesso aos 4 validadores de forma tão fácil. Considerando a natureza do negócio, como não colocaram cada um em um ambiente totalmente isolado?

Foi tipo criar uma multsig 4-of-9 e colocar as 4 keys no PC que tu usa pra acessar o Facebook, entende?

Sobre o hacker, também não acho que tenha um KYC com sua verdadeira identidade. Acho que ele aproveitou que estava "na surdina" para usar elas como um tipo de bridge (i.e deposita ETH e saca BTC pela chain nativa, depois usa mixers, etc...).

sim, teria problemas joker_josue
mas a galera que é golpipsta profissional provavelmente tem formas de contornas isso
já ouvi de tudo, desde gente que pedia pra alguém na rua fazer o KYC pagando uma merreca e a pessoa não se importava, até gente criando identidades completamente falsas para fazer contas.

por isso aquilo papo de KYC muitas vezes é inútil e incentiva um mercado paralelo nefasto.

---

A Sky Mavis confirmou que rolou uma engenharia social nesse hack, mas não publicaram muitos detalhes além disso.

Mas, quem vendeu a conta ou emprestou a conta, irá ficar com problemas, se o processo for tratado por via judicial.
A menos que a pessoa consiga provar que a sua conta foi roubada, fica dificil.

Isto é o mesmo de emprestar o carro para um amigo, e ele for apanhado pelo radar. A multa vai para a sua casa. Depois se quiser evitar ela, tem de provar que não era você que conduzia e dizer quem era. A menos que tenha dado o carro como roubado, mas se não deu, não tem como evitar a multa.

o rekt.news publicou o report e realmente eles pegaram o lugar número 1 na leaderboard.

lá eles mencionam que não é tão difícil comprar contas da binance com KYC
https://rekt.news/ronin-rekt/

talvez o hacker dê alguma bobeira, talvez não.

ele mandou uma grana pra ftx e pra huobi também mas como mencionei antes nada garante que essas contas sejam dele e não de laranjas

---

Faz todo sentido TryNinja,
provável que o caminho seria aumentar o número de validadores e em hipótese nenhuma sacrificar segurança por escalabilidade e velocidade.

Daria para usar uma cold wallet e dar permissão a um smar contract pra acessá-la, mas claro aí não faria tanta diferença assim ser cold ou não nesse caso.

Agora, como acha que o hacker conseguiu o controle das 4 chaves privadas da sky mavis? não tá com cara de inside job isso?

Smartcontract/bridge + cold wallet não fazem sentido. Como isso funcionaria?

Cold wallet por natureza é desconectado de qualquer meio de comunicação e requer um acesso manual.

Se requer acesso manual, não é descentralizado. Se não requer, não tem como ser uma cold wallet pois a função de mover as moedas deve ocorrer de forma programável, exatamente o motivo pelo qual ele geralmente é um smartcontract: o user manda tantas moedas na rede A e um sistema avisa à contraparte na rede B para liberar o valor do outro lado, seja via validadores com staking e penalidades de slashing ou via criptografia.

Cold storage só funciona quando se envolve uma parte centralizada, pois ele vai deter do controle absoluto das moedas de qualquer forma.

Realmente tem de se começar apostar nessa segurança.
Visto que nos últimos tempos tem surgindo vários roubos do género, via smartcontracts.
Parece-me que a malta está a descorar um pouco isso.

Se o roubo passou pela Binance, pode ser que eles ajudem a encontrar o autor do roubo.

timing cruel pra eles e erro tenso, foi um problema com os validadores, eles postaram um report aqui hoje:
Community Alert: Ronin Validators Compromised

não tenho dúvida que o time vai continuar e dar a volta por cima, mas pode ser uma lição bem cara se não conseguirem recuperar a grana

curiosamente o cara fez o funding da carteira por uma conta da binance
https://etherscan.io/tx/0xe0669bbaaa12cf5ecc682848ddc373a9b86e1351bccc01092b744099bf52a87d

ou seja, talvez consigam descobrir a identidade dele, se não usou algum laranja...
e aí ele pode acabar devolvendo a grana, pedindo desculpas e de quebra ainda recebendo um bounty, como já vimos acontecer... ou será que a história será diferente dessa vez?

curioso pra ver o rekt.news
de todos os times no espaço de crypto não esperava que a sky mavis pegaria o primeiro lugar na leaderboard
https://rekt.news/leaderboard/

na frente da poly, que também foi um hack de estilo semelhante, bridge.


já li o Vitalik falando da dificuldade de deixar bridges seguras
não dá pra mandar tudo pra uma cold wallet pq se rolar uma bank run vai ter gente sem poder sacar por falta de liquidez
melhorar a segurança dos validadores seria um caminho, provavelmente existem outros, o que acham?

---

Lembrete que o tesouro da sky mavis tem mais de um bilhão em ativos então eles poderiam cobrir isso, mas seria um erro bem doloroso.

Agora, pq será que o hacker só pegou ETH e USDC e não pegou também AXS e SLP?

EDIT:

não é surreal transferir 600 milhões de dólares pagando só 68 usd de taxa?
https://etherscan.io/tx/0xc28fad5e8d5e0ce6a2eaf67b6687be5d58113e16be590824d6cfa1a94467d0b7

A bridge é um smartcontract e não uma exchange. Como eles teriam uma "cold wallet"?

Mas eles não podiam ter boa parte disso em cold wallet?
Digo eu, que não percebo muito do assunto.

Por que cada 1 ETH na Ronin tem que ser lastreado por 1 ETH na Ethereum, naturalmente. Assim como cada 1 USDC tem que ser lastreado... caso contrário eles não tem valor.

-23% no momento: https://coinmarketcap.com/currencies/ronin/

 
É preciso estar sempre em cima da rede, e estar sempre a procura de falhas, para tentar evitar estas situações.
Isto mostra que todos os cuidados são poucos, para tentarmos estar minimamente protegidos.

Agora, porque é que eles tinha tanto dinheiro na brige?

Como está o mercado a reagir?

1 minuto de silencio para o pessoal da Sky Mavis...

Eles acabaram de ter a brige da Ronin hackeada e perderam mais de 600 MILHÕES DE DÓLARES em ETH e USDC!!!

E o pior de tudo é que esse ataque aconteceu há 6 dias e só descobriram agora, depois que um user tentou sacar 5k ETH pela bridge e não conseguiu: https://www.theblockcrypto.com/post/139761/axie-infinitys-ethereum-sidechain-ronin-hit-by-600-million-exploit

Acho que vai ser um marco para o mercado. Temos visto as promessas de descentralização de grandes protocolos e de games, mas é sempre algo colocado como um super futuro, acho que o Axie vai ser um  teste nunca antes feito para a estrutura das DAOS. E vai ser super interessante, devido ao tamanho da comunidade, a complexididade que o ecossistema está tendo e o todos os players, scholarships e guildas que nasceram e se desenvolveram em torno do AXIE.

To animada pra assistir isso rolar