Хакер сыграл по-крупному: из сети NFT-игры вывели криптовалюту на $625 млн
Неизвестный хакер смог вывести $600 млн с помощью бреши в сети Ronin, на которой работает NFT-игра Axie Infinity. Это одна из крупнейших краж в 13-летней истории криптоиндустрии. Издатель игры утверждает, что взлом произошел из-за социальной инженерии, а не технической уязвимости. Эксперты считают, что очередное хищение не отразится на интересе общества к NFT и блокчейну, однако для завоевания доверия пользователей цифровые проекты должны пройти большой путь — длиной более чем в 10 лет.
Взлом произошел еще 23 марта, а издатель игры — Sky Mavis — узнал о нем лишь 29 марта, когда один из пользователей не смог вывести 5 тыс. монет криптовалюты Ethereum. В Sky Mavis рассказали, что хакер получил доступ к учетным записям, на которых хранились криптовалюты, и похитил 173 600 «эфиров» и 25,5 млн стейблкоинов USDC. «Нарушение произошло из-за социальной инженерии, а не технического недостатка», — приводятся в заявлении компании слова ее операционного директора и соучредителя Александра Ларсена. Сейчас у пользователей нет возможности внести или вывести средства из Ronin, а сама Sky Mavis пытается сделать все, чтобы восстановить или возместить средства.
Axie Infinity появилась в 2018 году. «Акси» — это участвующие в битвах виртуальные существа, похожие на покемонов. Для игры необходимо обзавестись цифровыми персонажами. Их можно продавать, покупать и обменивать на криптовалюты. Самые дешевые стоят около $40, а рекордная цена на виртуальных существ превышает $820 тыс.
В феврале 2022 года в Axie Infinity ежедневно играли более 1,7 млн человек. В 2021-м Axie Infinity преодолела планку продаж более чем в $3,6 млрд, став самой популярной игрой на основе блокчейна. На пике своей популярности игра принесла доход более $40 млн за один день.
Аналитики из Elliptic назвали взлом второй по величине кражей криптоактивов за всю историю криптоиндустрии. На момент хищения активы оценивались в $540 млн, сейчас — уже в сумму свыше $600 млн. По данным Sky Mavis, украденные средства все еще находятся на кошельке хакера. Компания следит за похищенными активами вместе с аналитиками из Chainalysis.
В сети Ronin заявили, что работают напрямую с правоохранительными органами, «чтобы обеспечить привлечение преступников к ответственности». «Мы находимся в процессе обсуждения с заинтересованными сторонами — Axie Infinity/Sky Mavis, как лучше двигаться вперед и гарантировать, что средства пользователей не будут потеряны», — отмечено в заявлении.
Разработчики объяснили, что сейчас их сеть состоит из девяти узлов-валидаторов. Для перевода нужно иметь доступ к пяти из девяти подписям валидатора. Хакер смог получить доступ к четырем валидаторам Sky Mavis и одному стороннему, управляемому Axie DAO. При этом схема ключей валидатора настроена так, чтобы сеть была децентрализованной, — это помогает ограничить вектор возможных атак, однако хакер получил доступ с помощью вредоносной программы (бэкдора) через RPC-узел.
Он вывел криптовалюты Ethereum и USDC, которые отвечают за ликвидность, уточнил исследователь и контент-создатель в Zefi Хайк Арег Хачикян. У пользователей все еще остались валюты типа SLP, AXS, RON, которые используются на сети Ronin, но они не смогут их обменять или перевести в другую валюту, пока не будет добавлена ликвидность. При этом пользователи свои средства не потеряли, объяснил эксперт.
Цифровые риски
Без учета взлома Axie Infinity с 2011 года произошло 226 хакерских инцидента, которые привели к краже $12,1 млрд, по оценкам аналитиков Crystal Blockchain. В 2021 году зарегистрировано 75 инцидентов, в ходе которых было украдено $4,25 млрд. Самый крупный взлом в криптоиндустрии произошел в августе 2021 года — тогда протокол DeFi (децентрализованное финансирование) с названием PolyNetwork потерял $611 млн. Позже хакер согласился полностью вернуть похищенные у платформы средства.
Негатив инвесторов будет направлен именно в сторону сети Ronin, а не в сторону NFT и блокчейна, считает инвестиционный консультант, автор YouTube-канала «Экономист на час» Рами Зайцман. Он напомнил, что с появлением блокчейна, криптовалюты, криптобирж, первичного размещения криптомонет (ICO) и NFT выросло и количество мошенников. «В этом случае нужно пользоваться двумя правилами: держать в сохранности свои персональные данные и диверсифицировать активы: пользоваться несколькими биржами, холодными кошельками и фиатными инвестиционными инструментами», — считает инвестконсультант.
Подобные хищения в сфере криптовалют происходят довольно часто, соглашается Хачикян. «Люди, находящие в этой сфере, привыкли к подобным взломам. В большинстве своем компании, которые подвергаются таким кражам, достаточно серьезные и обеспеченные, поэтому они компенсируют ущерб пользователям», — считает он.
Пока правовой статус цифровых активов не станет абсолютно ясным, инвестиции в них будут оставаться рискованными, уверен IT-аналитик Станислав Макаров. По его словам, дорожная карта развития блокчейн-проектов, с помощью которых можно монетизировать игровой процесс (GameFi), выглядит так:
-
Определение правого статуса. Также предстоит отрегулировать вопросы владения NFT-токенами, их купли-продажи, наследования и так далее, а это отдельная большая работа для законодателей, добавил Макаров.
-
Повышение производительности блокчейна и снижение стоимости транзакций. Проблему с масштабируемостью и резким ростом стоимости транзакций при пиковых нагрузках может решить набор обновления для Ethereum, на котором основано большинство GameFi-проектов. Выход Ethereum 2.0 запланирован на 2022 год.
-
Создание рынка игровых активов. IT-аналитик добавил, что блокчейн — самый нижний слой инфраструктуры GameFi. Далее, по его словам, следует создать еще целую экосистему, а не только торговые площадки, если мы хотим привлечь на рынок частных инвесторов и коллекционеров.
«Вне всякого сомнения, так и произойдет, но процесс взросления рынка может занять гораздо больше времени, чем кажется энтузиастам. Пожалуй, здесь следует говорить о горизонте десяти лет и более», — отметил Макаров.
Серость игрового рынка
Изначально продажа различных внутриигровых предметов осуществлялась на торговых площадках по типу Steam. Однако правила продаж регулировали владельцы площадок. К примеру, в Steam-кошельке нельзя держать более $2 тыс., а сумма сделок за год не должна превышать $20 тыс., иначе игрокам, если они из США, придется отчитываться перед налоговой службой страны.
Нетрудно догадаться, что многих игроков эти искусственные барьеры раздражают, отмечает Станислав Макаров. «Поэтому появились альтернативные площадки для торговли игровыми предметами за настоящие деньги, однако все они работали и продолжают работать в серой зоне», — сказал он. В качестве примера эксперт привел OPSkins — сервис для торговли скинами онлайн-шутера CS:GO. Работал он так: сначала геймер давал OPSkins доступ к своему Steam-аккаунту, и его инвентарь становился доступен для продажи. Затем нужный для продажи предмет передавался боту-посреднику. Когда покупатель вносил деньги, бот отдавал ему товар, а игроку зачислял обещанную сумму на счет за вычетом своих комиссионных.
Внешне работа сервиса выглядела благопристойно, «но на деле работало как рынок недвижимости в дикие времена, когда в договоре купли-продажи квартиры писали кадастровую стоимость, а реальные деньги передавали наличными через банковскую ячейку», говорит Макаров. В 2018 году корпорация Valve, владеющая Steam, отключила всех ботов OPSkins. «Когда это произошло, пользователи потеряли около $2 млн — все их “активы” превратились в тыкву», — добавил IT-аналитик.
Однако параллельно начала появляться плеяда игр нового поколения, где продажа предметов заложена на уровне архитектуры. Частью тренда стали игры play-to-earn, первая из которых — Axie Infinity.
Разработчик этой игры также запустил децентрализованный рынок для 90,6 тыс. участков виртуальной земли, на котором игроки могут развивать свои базы, собирать ресурсы и создавать предметы. «Как и в реальном мире, земли больше не становится, поэтому цены на виртуальную недвижимость также имеют свойство расти. Недавно один участок был продан за $2,3 млн, а типичная цена составляет порядка $10 тыс.», — сказал Макаров. По его словам, это «чисто спекулятивные покупки», поскольку игровые функции с использованием земли еще даже не реализованы.