NFT游戏安全性遭质疑:Axie Infinity开发商被黑客攻破,损失6亿美元

【GameLook专稿,未经授权不得转载!】

GameLook报道/Sky Mavis旗下的区块链平台Ronin网络3月30日发布社区警报称,由于Ronin跨链桥存在安全漏洞,早在3月23日,Sky Mavis的Ronin验证器节点和Axie DAO验证器节点遭到了黑客的破坏,黑客先后通过两笔交易,从Ronin桥接了17.36万个ETH和2550万美元的现金至自己的账户钱包中。

根据3月30日ETH对美元的汇率,此次黑客攻击事件中仅被盗了17.36万个ETH价值就高达5.91亿美元,这也让Sky Marvis在本次事件中的损失达到了6.1亿美元(约合38.75亿元人民币)。

作为撑起全球NFT游戏领域大半边天的存在,Sky Marvis旗下的《Axie Infinity》的NFT技术正是基于Ronin链,去年7月,《Axie Infinity》的日活用户一度超过了100万,月收入更是高达1.96亿美元,这也是Sky Mavis在去年10月份以30亿美元的估值筹集了1.52 亿美元。

根据NonFungible发布的《NFT市场2021年度报告》,2021年《Axie Infinity》交易额高达34.85亿美元,位居区块链游戏类别的第一,几乎是第二名NBA Top Shot(8.2亿美元)的4.25倍。

在此次攻击后,不仅区块链平台的安全性会受到普遍的质疑,《Axie Infinity》和Sky Marvis恐怕也会大受影响,虽然官方已经锁定了黑客的钱包地址,但由于匿名和去中心化等原因,被盗的以太坊将很难追回,但如果无法追回遗失的资金,Sky Marvis就需要自己掏钱填补这个6亿美元的窟窿。

2014年,一家名为Mt.Gox的日本加密货币交易所的前执行长监守自盗,以至于当时公司损失了近85万比特币,约占当年世界比特币总量的7%,在暂停网上交易后不久,由于难以偿还债务,平台随后便申请了破产保护,不久后便倒闭了。

一周前就进贼了

根据Sky Marvis的介绍,旗下的Ronin链目前由9 验证节点组成,在日常交易中,为了平衡安全和效率,通常只需要九个验证节点中的五个签名。但在2021年11月,由于Ronin链上的用户负载巨大,Sky Mavis请求Axie DAO(去中心化的自治组织)帮助分发交易,引入了该组织的第三方验证器。

而在此次攻击中,黑客就是利用了Sky Mavis的远程过程调用(Remote Procedure Call,简称为RPC)节点的漏洞,设法盗走了五个验证者的私钥,控制了四个Ronin验证器和一个由Axie DAO运行的第三方验证器。获得五个签名后,黑客便成功地进行了虚拟货币的转移行动。

有趣的是,黑客的攻击行为早在3月23日,也就是七天前就成功了,Ronin 上的以太坊和美元存款直接被全部盗走,但这一行为在当时并没有得到官方的重视,直到今天早些时候,一名大R用户,试图从Ronin跨链桥中提取5千以太坊却失败,然后向官方反馈后,Sky Marvis才注意到自己后院被人搬空了。

目前,Ronin跨链桥以及平台的所有服务都被暂停了,验证器节点也做了分隔处理,一部分大型区块链交易所,比如Binance已经切断了与Ronin之间的桥接,Sky Marvis正在与主要交易所的安全团队保持联系,进一步减少安全风险扩散的可能。

Binance的CEO也通过推特发文表示,正在和《Axie infinity》团队联系,以帮助跟踪此问题。

除此之外,Sky Marvis也表示,为了防止进一步的短期损害以及未来可能发生的攻击行为,Ronin已经将验证节点的门槛从 5 个增加到 8 个。对于被盗取的资金,Ronin也正在与Chainalysis合作,监控这些以太坊的流动,同时在线下,官方也正与各个政府机构直接合作,以确保将罪犯绳之以法。

根据官方的说法,目前大部分被黑客盗取的资金仍在黑客钱包,并没有进一步转移。

对于Sky Marvis的此次经历,不只是反对区块链或NFT的网友幸灾乐祸,很多平台的用户也在官网博客或相关推文下的评论区中谴责了Sky Marvis,认为它们平时对平台安全就不够重视,事到如今也只能说是活该。

其中一周后才发现被盗、经大R用户反馈才得到重视等,更是成为了玩家抨击的重点,不少用户纷纷在官方的评论区反馈自己的账号、资金被盗的情况,并且表示“当一个小玩家被黑时,没有人愿意花一秒钟的时间去调查”。

“忙着开Party呢,安全算什么”,“被黑客攻击的情况很常见,但花了这么长时间才得到重视也说明了很多问题”。

 

除了苛责,对于参与到《Axie Infinity》等项目的玩家而言,Ronin暂停服务可能带来的损失或许更加让人对游戏以及Sky Marvis感到失望。在3月29日晚11点,官方发布公告的时候,1个AXS(Axie Infinity的代币)价值为70美元,但随后便暴跌至最低62.5美元。

但由于官方关闭了Ronin跨链桥服务,用户并不能自由地交易买卖自己账户中的任何代币,只能看着币价的涨跌波动,并且由于此次安全事件,不少玩家必然会丧失对Sky Marvis的信心,在Ronin恢复后,无论是AXS还是SLP,价格恐怕都难以维持。

区块链其实远比你想象的脆弱

虽然提及区块链就是各种去中心化、Web3.0、无法被破解,不可篡改等关键词,但由于整个区块链生态不可能离开涉及交易所、平台等技术没有那么高精尖的元素,其实区块链整体的安全性远比很多人想象的更加脆弱。

根据区块链被黑档案库,慢雾Slowmist官网的数据,自2012年1月起,在过去10余年内,区块链被黑客攻击,有报道或官方通告的案件高达676起,平均每个月都会有6起相关事件。在这600余起事件中,其中有金额记录的所有案件,合计损失更是高达259亿美元,约合人民币1643亿元。

仅今年3月,全球范围内大大小小就发生了28期有新闻报道或官方通告的黑客攻击事件,手法从传统的钓鱼信息到Sky Marvis这种利用平台漏洞的都有。

如果将范围放宽到2022年,类似于Sky Marvis这样的大型案件也并不止一例。就在3月23日当天,Solana上的稳定币项目 Cashio 遭遇黑客攻击,非法增发了20亿CASH代币,非法获利高达5200万美元。

2月12日,美国提供退休账户的平台IRA Financial Trust遭到攻击,损失高达3600万美元。

2月2日,黑客同样利用Wormhole网络中的签名验证漏洞,在Solana平台上铸造了12万Ether,价值高达3.26亿美元。

1月28日,去中心化借贷项目QBridge旗下的借贷产品Qubit 遭到黑客攻击,损失高达8000万美元。

事实上,上一起价值6亿美元的黑客攻击事件就发生在去年的8月,2021年8月10日晚,异构链跨链互操作协议Poly Network宣布,自己被黑客入侵,一名自称“白帽先生”的黑客在三十多分钟内,就转移了包括5.5万枚以太坊、2000枚比特币等在内,总价值超过6.1亿美元的资产。

后来还是该黑客选择主动与Poly Network展开对话,交流对策,并交回了所有盗取的资金,事情才算告一段落。

然而正所谓“人类从历史中学到的唯一教训,就是人类无法从历史中学到任何教训。”,即使是这样惨烈的前车之鉴,也并没有引起很多后来者对安全的重视,同样事件依然在重演,损失也不断在扩大。

并没有那么安全的虚拟世界

此次Sky Marvis的事件不由地让笔者想到了前段时间微软网络安全负责人的发言,在不久前的博客中,微软的安全负责人查理·贝尔(Charlie Bell)表示,“元宇宙或许会带来很多新的可能,但也必然会面对一些安全问题,行业亟需寻找对应的应对方案。”

被很多人与元宇宙经济系统联系起来的区块链,虽然其本身目前来看足够安全,但其交易流通将会涉及的各个环节、比如交易所、钱包、账户等方面的安全问题,却也不得不需要参与其中的平台、企业,甚至是未来的法律法规,提出额外的关注和安全保障措施。

且不说未来的虚拟世界,在Sky Marvis此次事件后,作为目前最靠近元宇宙雏形的概念之一,区块链游戏,都将受到巨大的冲击。

不同于普通网游在遇到Bug或被攻击后,可以通过服务器回档等手段从头再来,如果无法找回被黑客攻击、盗走的NFT或加密货币,游戏公司必须自掏腰包,弥补黑客造成的损失,要知道6亿美元,约合38亿元人民币,就已经是头部游戏公司的年度营收水平了。

举个例子,根据中手游2020年的财报,2020年公司营业收入38.20亿元,同比增长25.8%。

这也就意味着,游戏公司的一个小漏洞,黑客的一次攻击,就可能造成一个在游戏行业摸爬滚打数年的游戏公司,面临破产倒闭的风险。

如果此次事件“不得善终”,未来任何想要进入区块链游戏领域的公司,在开始前都要反复拷问自己,公司的安全系统是否牢不可破,公司内是否有内鬼对监守自盗毫不动心,公司是否有足够的积累,来面对最糟糕的情况。

而更可怕的是,玩家和用户会对区块链和P2E模式彻底丧失信心,这不仅将威胁到未来区块链游戏的发展,还将对现有的区块链游戏项目造成致命的打击。

要知道,P2E模式运行的一大基础就是不断吸引新玩家的进入,当玩家不再信任区块链游戏时,P2E模式自然就成为无源之水,枯竭只是早晚的事情,只不过是谁当最后一波倒霉蛋而已

就如贝尔在博客中所强调的,“如果平台不能未雨绸缪,那么元宇宙就必然会失败”,区块链游戏也是一样。

如若转载,请注明出处:http://www.gamelook.com.cn/2022/03/478050

关注微信