Ronin Network, una catena laterale collegata a Ethereum, ha assicurato di aver identificato gli hacker legati all'exploit di oltre 600 milioni di dollari del mese scorso e che tutti i fondi degli utenti sono "in procinto di essere ripristinati". Inoltre, l'entità ha implementato misure di sicurezza avanzate per prevenire tali attacchi in futuro.
Ulteriori dettagli sull'hack
Il progetto ha rivelato che l'assalto informatico è avvenuto il 23 marzo ed è stato identificato il 29 marzo dal team di Sky Mavis. "Non avevamo un sistema di tracciamento adeguato per monitorare i grandi deflussi dal ponte, motivo per cui la violazione non è stata scoperta immediatamente", ha spiegato l'entità in merito al ritardo.
I malintenzionati hanno ottenuto il controllo su cinque delle nove chiavi private del validatore – 4 validatori Sky Mavis e 1 Axie DAO – e hanno rubato 173.600 ETH e 25,5 milioni di USDC. I criminali hanno prosciugato le risorse crittografiche in due transazioni poiché l'importo totale è stato di circa $ 620 milioni.
Ronin Network ha rivelato che gli hacker sono riusciti a ottenere il controllo compromettendo un dipendente di Sky Mavis. Dopo aver scoperto la connessione della persona all'incidente, l'organizzazione ha licenziato quel membro del team.
Al momento dell'hacking, Sky Mavis controllava 4 validatori su 9, che non sarebbero stati sufficienti per falsificare prelievi. Lo schema della chiave del validatore si basa sul decentramento e limita un vettore di attacco. Tuttavia, i malfattori hanno trovato una "backdoor attraverso il nodo RPC senza gas, di cui hanno abusato per ottenere la firma per il validatore Axie DAO".
Migliorare il sistema di sicurezza
La società ha promesso di unire le forze con i massimi esperti di sicurezza, tra cui CrowdStrike e Polaris Infosec, per impedire che tali attacchi si ripetano. Ha anche collaborato con altre aziende che dovrebbero garantire che gli hacker non siano in grado di violare la difesa della rete.
Sky Mavis ha aumentato la quantità di nodi di convalida sulla rete Ronin, da nove a undici. Nei prossimi tre mesi, l'organizzazione prevede di portare quel numero a 21, "con l'obiettivo a lungo termine di averne oltre 100".
Il progetto vuole anche procedure interne più rigorose e prevede di lanciare più corsi di formazione per i suoi dipendenti, preparandoli a essere pronti se si verifica nuovamente un caso simile.
“Ronin è ora il gold standard quando si tratta di sicurezza. Tutto il codice viene completamente rivisto e ottimizzato, con esperti di sicurezza che esaminano l'intera architettura", ha sottolineato l'organizzazione.
Chi erano gli hacker?
Ronin Network ha concordato con l'accusa dell'FBI secondo cui la principale banda di criminali informatici nordcoreani – "The Lazarus Group" – ha effettuato l'attacco. Gli hacker sono stati descritti come una squadra "estremamente piena di risorse e sofisticata" coinvolta in molti attacchi simili negli ultimi mesi. Ronin ha inoltre ringraziato le autorità statunitensi per l'aiuto fornito e l'identificazione degli aggressori.
Il ponte Ronin Network doveva aprire entro la fine di aprile, ma spingerà i tempi fino a metà/fine maggio. Nel frattempo, il più grande scambio di criptovalute del mondo, Binance, supporterà la rete sia per i prelievi che per i depositi di wETH e USDC per gli utenti di Axie Infinity:
"Inizialmente ci aspettavamo di poter implementare l'aggiornamento entro la fine di aprile, ma questo non è un processo che possiamo permetterci di affrettare. Il ponte assicurerà miliardi di dollari in beni e deve essere fatto bene. Se tutto andrà come previsto, il ponte riaprirà a metà/fine maggio".