優秀なハッカー不要。ハッキングの仕組みはシンプル(2)
こちらの続き。
Axie Infinityハッキングの経緯
1. 事件の発覚
2022年3月29日未明、ユーザからの「5000ETH(ETH=イーサは、イーサリアムというプラットフォームで使用される仮想通貨のこと)を引き出せない」という報告を受け内部調査をしたところ、Axie Infinityは同社が悪意のある第三者によるセキュリティ侵害によって、17万3,600ETHと2,550万ドルが盗まれたこと発見した。
2.そもそもAxie Infinityって何?
Axie Infinityは、”Axie”と呼ばれるモンスターを集めたり戦わせたり育てたりするゲームである。基本的にバトルゲームなので、ポケモンみたいに自分のモンスターを強くしていって敵を倒していく。ポケモンと違うのは、自分で育てたモンスターを他のプレイヤーに売れることだ。ゲーム内には専用の市場「Axie Infinity Marketplace」というものがあり、そこではAxieの売買が行われている。
(参考:https://pixela.co.jp/nft/nftgame/38813/)
(参考:https://welcome.axie.tech/new-players)
(参考:https://www.neweconomy.jp/posts/207999)
3.ハッキング被害って、具体的には何が起こったの?
2022年初旬、Axie InfinityのシニアエンジニアがLinkedin経由で偽の求人オファーを受けた
この偽オファーはPDFで送付され、シニアエンジニアがこのPDFをダウンロードした結果、彼のPC経由でAxie InfinityのブロックチェーンシステムであるRonin networkにスパイウェアが侵入することを許してしまった
以降、ハッカーたちが何度かRonin networkへのセキュリティ侵害を繰り返した結果、9つあるバリデータのうち4つを乗っ取られてしまった(バリデータとは「検証者」という意味だが、仮想通貨の取引や送金をするときに妥当性をチェックして取引の「承認」作業を行うプログラムが入ったPCのことである。ブロックチェーンシステムでは、基本的に1つではなく複数のバリデータの承認が得られてはじめてその取引や送金が実行される)
仮想通貨の取引や送金の「承認」作業を完全にコントロールするには5つのバリデータを乗っ取らねばならなかったが、ハッカーたちは5つ目までは乗っ取ることができなかった
5つ目のバリデータを乗っ取る代わりに、ハッカーたちはAxie DAO(分散型自律組織)を利用することにした
Axie DAOとは、Axie Infinityの自律的経済圏を守るための管理運営をしている組織である
このAxie DAOは一時期、Axie Infinityの開発元であるSky Mavis社に自身の代わりにさまざまなシステム上の処理を代行することを許可していた
この代行作業は2021年12月に停止されたが、Sky Mavis社がAxie DAOの代わりに承認作業を行える権限は残されたままだった
ハッカーたちはハッキングに成功したPCからSky Mavis社のシステムに侵入して、Axie DAOが承認作業を行う際に発行する署名を取得
無事5つ目の署名が手に入ったことにより、2022年3月23日、大規模な不正送金が実行された
(参考:https://crypto-currency-academy.com/validator-ranking/)
(参考:https://thebridge.jp/2022/03/hackers-steal-620m-in-ethereum-and-dollars-in-axie-infinity-maker-sky-mavis-ronin-network)
(参考:https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game)
(参考:https://www.bridge-salon.jp/toushi/dao/#back)
(参考:https://crypto-currency-academy.com/validator-ranking/)
優秀なハッカー不要。ハッキングの仕組みはシンプル(3)へ続く。