Le château de cartes s’écroule – La nouvelle est tombée hier, mardi 30 mars 2021 : Axie Infinity, l’As des play to earn à terre, victime d’un hack depuis… le 23 mars 2022. Désormais, la communauté crypto tremble au rythme des tweets des équipes de Sky Mavis maison-mère du jeu blockchain NFT. Coup de poker à 173 600 Ethers (ETH) et 25,5 millions d’USDC. Démêlons ce sac de nœuds.
Banqueroute : 173 600 Ethereum de récompense pour le hackeur
Certains jeux peuvent demander un esprit fin et agile. C’est le cas également de certains vols, en particulier celui de notre affaire. En effet, l’attaque réalisée le 23 mars n’aurait été découverte que hier. Notre mystérieux hackeur serait donc resté plusieurs jours dans l’ombre.
L’alerte est donnée à l’équipe de Ronin lorsqu’un utilisateur n’arrive pas à retirer 5 000 ETH. Un rapport d’erreur alarme alors Ronin : il manque de la liquidité. Mais où sont donc les fonds ? L’enquête découvre l’adresse du hackeur qui révèle l’ampleur du siphonnage : 173 600 Ethers et de 25,5 millions d’USDC.
Axie Infinity a t-il joué avec le feu ?
9 Blocs de validation composent la Ronin Chain. Pour valider un échange, il faut cinq blocs validés (signés) sur neuf. Notre tricheur a réussi à prendre le contrôle de cinq blocs : quatre de Sky Mavis et un d’Axie DAO.
Nous ne connaîtrons pas tous les dessous de carte. Toutefois si l’on considère la déclaration officielle, certains faits questionnent. Axie DAO était un des validateurs qui permettent aux utilisateurs de Ronin d’effectuer des transactions gratuitement. Toutefois ce système de paiement des transactions et le validateur Axie DAO n’existent plus depuis décembre 2021
« L’Axie DAO a autorisé Sky Mavis à signer diverses transactions en son nom. Cela a été interrompu en décembre 2021, mais l’accès à la liste d’autorisation n’a pas été révoqué. »
Communiqué de Ronin
Or, comme nous l’explique l’équipe de Sky Mavis, Axie DAO aurait dû être retirée. Le hackeur exploite la faille. Il valide cinq blocs sur neuf.
Binance, Chainalysis : les arbitres du jeu
Plusieurs mesures sont d’ores et déjà prises. Fin de partie pour les traders et joueurs d’Axie Infinity qui n’ont plus accès aux divers services de la Ronin Chain, trop appauvrie. Au delà d’une augmentation du seuil de validation passant de 5 à 8 blocs sur 9, Axie DAO est également retiré de la liste des signatures autorisées. Axie Infinity est en contact avec les exchanges tels que FTX, Binance, ou l’arbitre de la blockchain Chainalysis pour remonter et creuser le réseau afin de trouver le tricheur.
« Notre équipe est en contact avec l’équipe AxieInfinity pour vous aider à suivre ce problème. »
Tweet de Changpeng Zao , CEO de Binance
L’équipe de Ronin assure ainsi travailler avec divers organismes gouvernementaux pour que le mauvais joueur termine devant un tribunal. Ainsi, Axie Infinity veut-il garantir que les fonds dérobés seront rendus. Seuls l’ETH et l’USDC ont été pillés. Il reste donc dans les pools les tokens du jeu : AXS (jeton de gouvernance) , RON et SLP (jetons utilitaires).
« Nous travaillons avec les responsables de l’application des lois, les cryptographes légistes et nos investisseurs pour nous assurer que tous les fonds sont récupérés ou remboursés. Tous les AXS, RON et SLP sur Ronin sont en sécurité pour le moment. »
Communiqué de Ronin
Les comptes sont vides et la planète Axie Infinity perd ses couleurs acidulées et légères. Les tokens RON, AXS et SLP chutent, malgré une tendance haussière la semaine dernière. La communauté panique, mais certains restent encore bons joueurs. D’autres annonces sont attendues, il faudra patienter pour connaître la fin de la partie.
Les catastrophes et les hacks, ça n’arrive pas qu’aux autres ! Il vaut mieux ne jamais confier la sécurité de vos cryptomonnaies à un tiers. Pour dormir l’esprit tranquille, équipez-vous d’un wallet hardware sécurisé Ledger, il y en a pour toutes les bourses. Votre sécurité n’a pas de prix (lien commercial).
