画像:Ronin newslatterより引用
大人気ブロックチェーンゲーム「Axie Infinity」の主要チェーンであるRoninチェーンが何者かのサイバー攻撃を受け、約6億ドル分の仮想通貨が流出したことが明らかになりました。
攻撃の対象となったのは、Roninチェーンのバリデータノードを構成するSkyMavis社の端末です。情報によると、Roninチェーンは9つのバリデータノードを持ちますが、攻撃者は端末を介してRonin開発者SkyMavis社の4つのノードと、ゲーム内トークンをブリッジしているAxieDAOのノードに不正アクセスを仕掛け、仮想通貨を盗み出したとのこと。システムには不正アクセス対策になる仕組みも取り入れられていますが、攻撃者はバックドアを見つけ、不正アクセスに必要なバリデータの署名を取得したとしています。
情報によると、攻撃者は2回に渡る不正アクセスにより、仮想通貨を盗み出しています。盗まれた通貨は主要仮想通貨のひとつであるイーサリアム(17万3,600ETH)と米ドルのステーブルコインUSDC(2,550万USDC)。合計被害額は約6億ドルとも推定されており、規模の大きなサイバー被害になる見通しです。
トランザクション急増が原因か
情報によると、攻撃を受けるに至った原因は2021年11月に発生した「Axie Infinity」ユーザー急増によるトランザクション問題です。
「Axie Infinity」は遊んで稼げるゲームとして2018年3月に打ち出されたゲームですが、知名度が高まるにつれ爆発的なプレイ人口の増加に見舞われ、2021年11月には目標人口の1,000%を超える290万人を記録し、ブロックチェーンゲーム史上最大級の世界的人気を記録するに至りました。ところが、ゲームを支える存在であるRoninに対するユーザー負荷も急増しており、解消のためにAxieDAOに支援を要求したとのこと。
AxieDAOは同社に代わり、さまざまなトランザクションの署名を許可したのち2021年12月に中止しましたが、既に許可したリストへのアクセスは取り消されず、攻撃者がAxieDAOバリデーターから署名を取得したとのことです。
参照Community Alert: Ronin Validators Compromised/Ronin newslatter