Sky Mavis旗下的区块链平台Ronin Network于3月30日发布社区警报,称早在3月23日,Sky Mavis的Ronin verifier节点和Axie DAO verifier节点被黑客破坏,黑客通过两次交易,先后从Ronin向其账户钱包桥接了17.36万ETH和2550万美元现金。
根据3月30日ETH对美元的汇率,仅此次黑客事件中就有17.36万个ETH被盗,价值高达5.91亿美元,这也使得Sky Marvis在此次事件中的损失达到6.1亿美元(约合38.75亿元人民币)。
作为支持全球一半的NFT游戏,Sky Marvis拥有的《Axie Infinity》 NFT技术基于Ronin chain。去年7月,《Axie Infinity》日活用户一度突破100万,月收入高达1.96亿美元。这也是去年10月Sky Mavis以30亿美元的估值融资1.52亿美元的事实。
根据不可替代发布的《NFT市场2021年度报告》,《Axie Infinity》在2021年的交易额高达34.85亿美元,位居区块链游戏类别第一,几乎是第二名NBA Top Shot(8.2亿美元)的4.25倍。
此次攻击后,不仅区块链平台的安全性会受到普遍质疑,《Axie Infinity》和Sky Marvis也会受到很大影响。虽然官方已经锁定了黑客的钱包地址,但被盗的以太坊由于匿名性和分散性,将很难追回,但如果丢失的资金无法追回,Sky Marvis将不得不自己为这个6亿美元的窟窿买单。
2014年,日本一家名为Mt.Gox的加密货币交易所的前首席执行官窃取了自己的东西,以至于该公司当时损失了近85万个比特币,约占当年全球比特币总量的7%。在线交易暂停后不久,该平台随后因难以清偿债务而申请破产保护,不久后便宣告破产。
一周前被盗了。
根据Sky Marvis的介绍,其Ronin链目前由9个验证节点组成。在日常交易中,为了平衡安全性和效率,通常只需要9个验证节点中的5个签名。但在2021年11月,由于Ronin链上的用户负载巨大,Sky Mavis请求Axie DAO(去中心化自治组织)帮助分发交易,并引入了该组织的第三方验证者。
在这次攻击中,黑客利用了Sky Mavis的远程过程调用(RPC)节点的漏洞,成功窃取了5个验证器的私钥,控制了4个Ronin验证器和一个Axie DAO运行的第三方验证器。在获得5个签名后,黑客成功转移了虚拟货币。
有意思的是,黑客的攻击早在3月23日,也就是7天前就成功了。浪人身上的以太坊和美元存款都是直接被盗的,但这种行为当时并没有被官方重视。直到今天早些时候,一个大R用户试图从罗宁的跨链桥中提取5000以太币未果,然后向官方举报,天空马维斯才注意到自己的后院被清空了。
目前Ronin的跨链桥和平台的所有服务已经暂停,验证者节点也已经分离。一些大型区块链交易所,如币安,已经切断了与Ronin的桥梁。Sky Marvis正与各大交易所的安全团队保持联系,进一步降低安全风险扩散的可能性。
BIN的首席执行官也在Twitter上发布消息称,他正在联系《Axie infinity》团队,以帮助跟踪这一问题。
此外,Sky Marvis还表示,Ronin已经将认证节点的阈值从5个提高到8个,以防止进一步的短期损害和未来可能的攻击。对于被盗资金,Ronin也在和Chainalysis合作,监控这些以太坊的流向。同时,在线下,官方也在直接与各个政府机构合作,确保将犯罪分子绳之以法。
按照官方的说法,目前黑客盗取的大部分资金还在黑客的钱包里,没有被进一步转移。
对于Sky Marvis的遭遇,不仅反对区块链或NFT的网友幸灾乐祸,还有很多平台用户在官网博客下的评论区或相关推文中谴责Sky Marvis,认为他们平时对平台安全不够重视,现在只能说是咎由自取。
一周后发现被盗,大R用户反馈后才认真对待。成为了玩家攻击的焦点。很多用户在官方评论区举报自己的账号和被盗资金,并表示“一个小玩家被黑,没人愿意多花一秒去调查”。
“当你忙着开派对的时候,安全是什么?”“黑客很常见,但需要这么长时间才能引起关注,这也说明了很多问题”。
除了苛刻之外,对于参与《Axie Infinity》等项目的玩家来说,Ronin停服可能带来的损失,可能会让人对游戏和Sky Marvis更加失望。3月29日晚上11点,当官方宣布时,一个AXS(Axie Infinity的令牌)价值70美元,但随后暴跌至最低62.5美元。
但由于Ronin的跨链桥服务正式关闭,用户无法自由交易和购买账户中的任何代币,只能观看币价波动。而且由于这次安全事件,很多玩家难免会对Sky Marvis失去信心。浪人恢复后,AXS或SLP的价格将难以维持。
区块链其实远比你想象的脆弱。
虽然提到区块链是去中心化、Web3.0、牢不可破、不可改变等各种关键词,但整个区块链生态不可能离开涉及交易所、平台等技术并不那么精良的元素。事实上,区块链的整体安全比许多人想象的要脆弱得多。
根据Slowmist官方网站——区块链黑客攻击档案的数据,自2012年1月以来,过去10年间,报道或官方公布的区块链黑客攻击案件有676起,平均每月有6起相关事件。在这600多起事件中,所有有金钱记录的案件损失总额高达259亿美元,约合人民币1643亿元。
仅在今年3月,世界各地就发生了28起带有新闻报道或官方公告的黑客攻击,从传统的钓鱼信息到利用平台漏洞的Sky Marvis。
如果把范围放宽到2022年,像Sky Marvis这样的大规模案例就不止一个了。3月23日,索拉纳上的稳定货币项目Cashio遭到黑客攻击,非法发行了20亿张现金代币,非法获利高达5200万美元。
2月12日,美国提供退休账户的平台IRA Financial Trust遭到攻击,损失高达3600万美元。
2月2日,黑客还利用虫洞网络中的签名验证漏洞,在Solana平台上铸造了12万个以太,价值高达3.26亿美元。
1月28日,去中心化借贷项目QBridge旗下的借贷产品Qubit被黑,损失8000万美元。
事实上,上一次价值6亿美元的黑客事件发生在去年8月。2021年8月10日晚,异构链跨链互操作协议聚网宣布遭到黑客攻击。一名自称“白帽老师”的黑客在三十多分钟内转移了总价值超过6.1亿美元的资产,包括5.5万个以太币和2000个比特币。
后来黑客选择主动与保利网展开对话,交流对策,并返还全部被盗资金,此事就此告一段落。
然而,正所谓“人类从历史中得到的唯一教训是,他们从历史中得不到任何教训。”即使是这样惨烈的例子,也没有引起很多后来者对安全的重视。同样的事件还在再次发生,损失也在不断扩大。
没有这样一个安全的虚拟世界。
天空Marvis事件让我想起前段时间微软网络安全负责人的发言。在最近的一篇博客中,微软安全负责人查理贝尔表示,“元宇宙可能会带来许多新的可能性,但它不可避免地会面临一些安全问题,业界迫切需要找到相应的解决方案。”
被很多人与超宇宙经济体系联系在一起的区块链,目前是足够安全的,但是其交易流通中涉及的所有环节的安全问题,比如交易所、钱包、账户等。还得要求参与的平台、企业,甚至未来的法律法规提出额外的顾虑和保障措施。
且不说未来的虚拟世界,在天空马维斯事件之后,作为最接近元宇宙原型的概念之一,区块链游戏将受到极大的冲击。
与普通网游不同的是,遇到Bug或被攻击后,可以通过服务器返还文件等方式重新开始。如果无法追回被黑或被盗的NFT或加密货币,游戏公司必须自掏腰包弥补黑客造成的损失。要知道6亿美元,约合38亿人民币,已经是头部游戏公司的年收入水平了。
比如中国手游2020年财报显示,公司2020年营业收入38.2亿元,同比增长25.8%。
这意味着,游戏公司的一个小漏洞,黑客的一次攻击,都可能让一家在游戏行业摸爬滚打了几年的游戏公司面临倒闭的风险。
如果这一事件“不欢而散”,未来任何一家想进入区块链游戏领域的公司,都要反复折磨自己才能下手。公司的安全系统是否牢不可破?公司里有没有不为监守自盗所动的内奸?公司有足够的积累面对最坏的情况吗?
更可怕的是,玩家和用户将对区块链和P2E模式彻底失去信心,这不仅会威胁到区块链游戏的未来发展,还会对现有的区块链游戏项目造成致命打击。
要知道,P2E模式运营的基础之一就是不断吸引新玩家。当玩家不再信任区块链游戏,P2E模式自然会成为无源之水。干涸只是时间问题。只是谁会是最后一个倒霉的。
正如贝尔在博客中强调的,“如果平台不能提前规划,那么元宇宙必然会失败。”区块链奥运会也是如此。