Проблемы с сайдчейном Ronin: в поиске решения

Проблемы с сайдчейном Ronin: в поиске решения

28 июня 2022 года состоялся успешный перезапуск сайдчейна Ronin . Сеть не работала несколько месяцев: ее работу остановили после масштабного взлома кроссчейн-моста в конце марта. В результате атаки злоумышленники похитили криптовалюты общей стоимостью $625 млн. В этом материале мы собрали все самые важные детали о Ronin и его перезапуске.

  • Для чего был нужен сайдчейн Ronin?

Ronin — проект компании Sky Mavis, которая развивает популярную блокчейн-игру Axie Infinity . Изначально приложение работало на Ethereum, однако ее пропускной способности не хватало, чтобы обрабатывать внутриигровые операции.

Тогда Sky Mavis разработала решение второго уровня — сайдчейн Ronin. Каналом связи между ним и Ethereum был кроссчейн-мост Ronin Bridge , благодаря которому в Axie Infinity можно было переводить активы стандарта ERC-20.

В 2021 году популярность игры резко возросла: только с мая 2021-го по январь 2022 года 1,44 млн покупателей совершили в ней примерно 12,6 млн транзакций с невзаимозаменяемыми токенами (NFT).

Axie Infinity стала абсолютным лидером по объему торгов NFT: за 2021 год оборот NFT в этом приложении оценивают в сумму $3,5 млрд до $3,85 млрд, тогда как у ближайшего конкурента, NBA Top Shot, этот показатель составил лишь $827 млн.

Из-за ажиотажа вокруг игры ставка на сайдчейн себя оправдала. По оценкам аналитиков, только в ноябре 2021 года Ronin обработал более 560% от общего количества транзакций в Ethereum.

Скорость работы Ronin была примерно в 4 раза выше, чем в сети Ethereum. Благодаря Ronin сделки на торговой площадке Axie и перевод активов в сети выполнялись в течение нескольких секунд.

Ronin также решала проблему высоких комиссий в сети. Плата за газ в Ethereum колеблется от $100 до $200, что делало микротранзакции не экономичными.

Кроме того, пользователи официального кошелька Ronin Wallet получали определенное число бесплатных транзакций за совершение различных действий в Axie Infinity , а также за хранение в кошельке NFT-персонажей (Axie) или виртуальных участков земли.

  • Как взломали Ronin?

  • В конце марта 2022 года сайдчейн Ronin, используемый в Axie Infinity , стал жертвой одной из самых масштабных хакерских атак за всю историю децентрализованных финансов (DeFi).

  • Воспользовавшись эксплойтом, злоумышленники вывели криптоактивы на сумму более чем $625 млн: 173 600 ETH и 25,5 USDC.

  • Брешь в системе безопасности разработчики обнаружили лишь спустя неделю после атаки. Выяснилось, что один из сотрудников команды подвергся фишинговой атаке, в результате чего злоумышленник получил доступ к инфраструктуре компании и валидаторам Ronin .

  • В сети Ronin работали всего 9 валидаторов. При этом для подтверждения транзакции были нужны подписи только 5 из них. На момент атаки Sky Mavis управляла 4 из 9 валидаторов. Контроль над еще одним недостающим валидатором, которым управляло Axie DAO , хакеры получили с помощью бэкдора, связанного с безгазовой RPC -нодой Ronin .

  • Подобная архитектура противоречила базовым правилам безопасности. Обычно в блокчейне валидатор-нодами управляют разные команды или компании, которые сохраняют распределенную структуру. Создатели Ronin же использовали централизованный подход — значительная часть валидаторов принадлежала одной компании. Это и стало роковой ошибкой.

Ronin Token

В начале 2022 года Sky Mavis выпустила токен RON для управления проектом и транзакций в сети Ronin. Цена RON упала после взлома, но вырос на 40% после сообщения о перезапуске сайдчейна.

Наблюдатели отмечают плохую токеномику проекта и падение доходов использующей Ronin блокчейн-игры Axie Infinity.

Приложения на Ronin

На Ronin работали приложения: Axie Infinity, Ronin Wallet для хранения криптоактивов связанных с игрой, и Ronin DEX — децентрализованная биржа Katana для обмена внутриигровыми криптовалютами.

Перезапуск Ronin

Разработчики перезапустили Ronin после обновления системы безопасности, раундов аудита и внедрения новых механизмов безопасности, включая автоматический «выключатель» моста при попытке провести через него своп подозрительно большого размера. Для Ronin Bridge действует лимит на вывод средств — $50 млн в сутки.

Увеличение валидаторов и децентрализация Ronin

После инцидента Sky Mavis увеличила число валидаторов, необходимых для подтверждения транзакций в Ronin. Компания обещала провести децентрализацию сети и довести число работающих нод до 100, а также внедрить архитектуру нулевого доверия.

Управляющие и компенсация украденных средств

После перезапуска в Ronin Network ввели институт «управляющих», которые будут голосовать за добавление новых валидаторов, апгрейды смарт-контрактов, изменение суточного лимита для кроссчейн-моста и другие крупные изменения в блокчейне. Один из важнейших элементов перезапуска — компенсация украденных средств. Ronin привлекла для этой цели финансирование на сумму $150 млн. Еще $450 млн в Sky Mavis обещали выплатить за счет собственных денег.

Все украденные пользователям wETH и USDC были им возвращены, и эти средства полностью обеспечены соответствующим залогом в сети Ethereum. Судьба еще 56 000 wETH, украденных из казны Axie DAO, остается неизвестной — их рассчитывают вернуть в результате расследованию правоохранительных органов.

Как переводить активы из Ethereum в Ronin?

Кроссчейн-мост для Ronin уже работает. Через него в Ronin можно перевести из Ethereum ETH, AXS (нативная монета экосистемы), SLP (главный внутриигровой актив Axie Infinity) или стейблкоин USDC. Для свопа понадобится браузерный кошелек, поддерживающий Ethereum, а также Ronin Wallet.

Что еще почитать?

Что такое ДАО?

Что такое решения масштабирования второго уровня?

Что такое MetaMask?

Что такое трилемма блокчейна?

Что такое кроссчейн-мосты?

CryptoIt