Проблемы с сайдчейном Ronin: в поиске решения
28 июня 2022 года состоялся успешный перезапуск сайдчейна Ronin . Сеть не работала несколько месяцев: ее работу остановили после масштабного взлома кроссчейн-моста в конце марта. В результате атаки злоумышленники похитили криптовалюты общей стоимостью $625 млн. В этом материале мы собрали все самые важные детали о Ronin и его перезапуске.
- Для чего был нужен сайдчейн Ronin?
Ronin — проект компании Sky Mavis, которая развивает популярную блокчейн-игру Axie Infinity . Изначально приложение работало на Ethereum, однако ее пропускной способности не хватало, чтобы обрабатывать внутриигровые операции.
Тогда Sky Mavis разработала решение второго уровня — сайдчейн Ronin. Каналом связи между ним и Ethereum был кроссчейн-мост Ronin Bridge , благодаря которому в Axie Infinity можно было переводить активы стандарта ERC-20.
В 2021 году популярность игры резко возросла: только с мая 2021-го по январь 2022 года 1,44 млн покупателей совершили в ней примерно 12,6 млн транзакций с невзаимозаменяемыми токенами (NFT).
Axie Infinity стала абсолютным лидером по объему торгов NFT: за 2021 год оборот NFT в этом приложении оценивают в сумму $3,5 млрд до $3,85 млрд, тогда как у ближайшего конкурента, NBA Top Shot, этот показатель составил лишь $827 млн.
Из-за ажиотажа вокруг игры ставка на сайдчейн себя оправдала. По оценкам аналитиков, только в ноябре 2021 года Ronin обработал более 560% от общего количества транзакций в Ethereum.
Скорость работы Ronin была примерно в 4 раза выше, чем в сети Ethereum. Благодаря Ronin сделки на торговой площадке Axie и перевод активов в сети выполнялись в течение нескольких секунд.
Ronin также решала проблему высоких комиссий в сети. Плата за газ в Ethereum колеблется от $100 до $200, что делало микротранзакции не экономичными.
Кроме того, пользователи официального кошелька Ronin Wallet получали определенное число бесплатных транзакций за совершение различных действий в Axie Infinity , а также за хранение в кошельке NFT-персонажей (Axie) или виртуальных участков земли.
-
Как взломали Ronin?
-
В конце марта 2022 года сайдчейн Ronin, используемый в Axie Infinity , стал жертвой одной из самых масштабных хакерских атак за всю историю децентрализованных финансов (DeFi).
-
Воспользовавшись эксплойтом, злоумышленники вывели криптоактивы на сумму более чем $625 млн: 173 600 ETH и 25,5 USDC.
-
Брешь в системе безопасности разработчики обнаружили лишь спустя неделю после атаки. Выяснилось, что один из сотрудников команды подвергся фишинговой атаке, в результате чего злоумышленник получил доступ к инфраструктуре компании и валидаторам Ronin .
-
В сети Ronin работали всего 9 валидаторов. При этом для подтверждения транзакции были нужны подписи только 5 из них. На момент атаки Sky Mavis управляла 4 из 9 валидаторов. Контроль над еще одним недостающим валидатором, которым управляло Axie DAO , хакеры получили с помощью бэкдора, связанного с безгазовой RPC -нодой Ronin .
-
Подобная архитектура противоречила базовым правилам безопасности. Обычно в блокчейне валидатор-нодами управляют разные команды или компании, которые сохраняют распределенную структуру. Создатели Ronin же использовали централизованный подход — значительная часть валидаторов принадлежала одной компании. Это и стало роковой ошибкой.
Ronin Token
В начале 2022 года Sky Mavis выпустила токен RON для управления проектом и транзакций в сети Ronin. Цена RON упала после взлома, но вырос на 40% после сообщения о перезапуске сайдчейна.
Наблюдатели отмечают плохую токеномику проекта и падение доходов использующей Ronin блокчейн-игры Axie Infinity.
Приложения на Ronin
На Ronin работали приложения: Axie Infinity, Ronin Wallet для хранения криптоактивов связанных с игрой, и Ronin DEX — децентрализованная биржа Katana для обмена внутриигровыми криптовалютами.
Перезапуск Ronin
Разработчики перезапустили Ronin после обновления системы безопасности, раундов аудита и внедрения новых механизмов безопасности, включая автоматический «выключатель» моста при попытке провести через него своп подозрительно большого размера. Для Ronin Bridge действует лимит на вывод средств — $50 млн в сутки.
Увеличение валидаторов и децентрализация Ronin
После инцидента Sky Mavis увеличила число валидаторов, необходимых для подтверждения транзакций в Ronin. Компания обещала провести децентрализацию сети и довести число работающих нод до 100, а также внедрить архитектуру нулевого доверия.
Управляющие и компенсация украденных средств
После перезапуска в Ronin Network ввели институт «управляющих», которые будут голосовать за добавление новых валидаторов, апгрейды смарт-контрактов, изменение суточного лимита для кроссчейн-моста и другие крупные изменения в блокчейне. Один из важнейших элементов перезапуска — компенсация украденных средств. Ronin привлекла для этой цели финансирование на сумму $150 млн. Еще $450 млн в Sky Mavis обещали выплатить за счет собственных денег.
Все украденные пользователям wETH и USDC были им возвращены, и эти средства полностью обеспечены соответствующим залогом в сети Ethereum. Судьба еще 56 000 wETH, украденных из казны Axie DAO, остается неизвестной — их рассчитывают вернуть в результате расследованию правоохранительных органов.
Как переводить активы из Ethereum в Ronin?
Кроссчейн-мост для Ronin уже работает. Через него в Ronin можно перевести из Ethereum ETH, AXS (нативная монета экосистемы), SLP (главный внутриигровой актив Axie Infinity) или стейблкоин USDC. Для свопа понадобится браузерный кошелек, поддерживающий Ethereum, а также Ronin Wallet.
Что еще почитать?
