La faille de sécurité du réseau Axie Infinity Ronin : que s’est-il vraiment passé ?
Plus d’un mois plus tard, une image plus claire de la faille de sécurité colossale du réseau Ronin de Sky Mavis émerge enfin. Le piratage majeur des nœuds de validation Ronin de Sky Mavis et des nœuds de validation Axie DAO a conduit au vol de plus de 600 millions de dollars sur le pont Ronin. Maintenant, le réseau domestique d’Axie Infinity a publié un post-mortem complet sur l’incident, détaillant exactement ce qui s’est passé.
Ronin Network explique les facteurs à l’origine d’une faille de sécurité historique
Le braquage de 73 600 ETH et 25,5 millions USDC du réseau Ronin est l’une des plus grandes failles de sécurité de la courte histoire de DeFi. Inutile de dire que Ronin Network fait face à une pression immense. Non seulement pour rectifier la situation pour ses utilisateurs mais aussi pour reconstruire la confiance du public.
À cette fin, la faille de sécurité de Ronin Network passe en revue tout ce qui s’est passé et les changements que l’équipe apporte pour renforcer sa sécurité.
Le premier point que Ronin Network aborde dans son post-mortem, c’est pourquoi il a fallu si longtemps pour identifier la faille de sécurité en premier lieu. Pour clarifier, alors que le piratage s’est produit le 23 mars, l’équipe de Sky Mavis ne s’en est rendu compte que le 29 mars.
Étonnamment, Ronin admet que cela a été possible parce qu’il « … n’avait pas de système de suivi approprié pour surveiller les écoulements importants du pont ». En conséquence, il note que des transactions de cette taille nécessiteront une « interaction humaine » sur son nouveau pont Ronin.
Ensuite, le post-mortem explique comment un (désormais ancien) employé a été compromis par ce qu’il appelle une « attaque de harponnage avancée ». C’est ainsi que les pirates ont pu violer la sécurité informatique de Sky Mavis et accéder aux nœuds de validation.
Un oubli a permis aux pirates de prendre le contrôle de plus de la moitié des nœuds validateurs Ronin
La prochaine erreur majeure de la part de Sky Mavis concerne le validateur Axie DAO. Pour expliquer, en novembre 2021, Sky Mavis a demandé à Axie DAO de l’aider à distribuer des transactions gratuites. Cela était dû à une charge d’utilisateurs élevée à l’époque. En réponse, l’Axie DAO a autorisé Sky Mavis à signer des transactions en son nom.
L’erreur fatale est survenue lorsque cet arrangement a pris fin en décembre 2021. À ce moment-là, l’accès à la liste d’autorisation permettant à Sky Mavis de signer des transactions n’a pas été révoqué.
En raison de l’oubli, les pirates ont pu utiliser le RPC sans gaz de Sky Mavis pour obtenir la signature du validateur Axie DAO. Ce faisant, le pirate a pu prendre le contrôle des validateurs du réseau 5/9 Ronin. C’était nécessaire pour effectuer le retrait et achever l’attaque.
Que fait Ronin à propos de la faille de sécurité ?
Tout d’abord, Ronin a décidé d’ajouter plus de nœuds de validation pour éviter toute faille de sécurité similaire. Il a également agi rapidement pour assurer aux utilisateurs qu’ils seraient indemnisés. Le post-mortem comprend également des détails sur la nouvelle feuille de route de sécurité du réseau Ronin. Certains des points de la feuille de route comprennent :
- Travailler en permanence avec des experts en sécurité de premier plan pour éviter les menaces persistantes.
- Augmenter le nombre de nœuds de validation sur le réseau Ronin
- Mettre en place des procédures internes plus strictes
- Lancement d’une prime de bug
Tout bien considéré, cette faille de sécurité du réseau Ronin est le pire point douloureux de ce qui a été une année très difficile pour les créateurs d’Axie Infinity, Sky Mavis. 2022 a été un contraste frappant avec 2021. Après tout, l’année dernière, Axie Infinity de Sky Mavis est devenu sans doute le premier jeu de blockchain à succès. En tout cas, Sky Mavis et ses bailleurs de fonds font tout ce qu’ils peuvent pour passer positivement de l’énorme revers.
Il convient également de noter que les attaquants étaient loin d’être un pirate informatique moyen. Au moment de la faille de sécurité, personne ne savait qui avait réellement piraté le réseau Ronin. Cependant, il est apparu plus tard qu’un groupe de pirates nord-coréens parrainé par l’État, Lazarus Group, avait mené l’attaque.
Vous pouvez lire le post-mortem complet de Ronin Network ici.