アクシーインフィニティ(Axie Infinity)の公式ディスコードや独自のイーサリアムサイドチェーンである「Ronin Network」の公式ツイッター、およびSubstackページによると、Roninブリッジと分散型取引所Katanaがハッキングを受けて停止した。29日時点の価格で、合計6億1200万ドル相当の17万3600ETHと2550万USDコイン(USDC)が流出した。開発者は声明で、「現在、法的機関、フォレンジック調査を手掛ける仮想通貨技術者、および当社の投資家と協力して、すべての資金が回収または払い戻されるようにしている。RoninのAXS、RON、SLP(トークン)は現在すべて安全だ」とした。 

Roninの開発者が語ったように、ハッカーは出金を偽造するためにハッキングされた秘密鍵を使用し、わずか2回の取引でRoninブリッジから資金を流出させた。さらに重要なのは、ハッキングは3月23日から発生していたが、あるユーザーが29日にRoninブリッジからETHの5,000ドルを引き出すのに失敗してようやく発見されたということだ。記事執筆時点では、RoninのガバナンストークンであるRONは、過去1時間で20%近く下落して1.88ドルとなっている。

ベトナムのゲームスタジオSky Mavisが開発したRoninチェーンは現在9つのバリデータノードで構成されており、そのうち少なくとも5つの署名が入出金イベントを認識するために必要とされている。ハッカーは、Sky Mavisの4つのRoninバリデータとAxie DAOが運営するサードパーティバリデータからなる5つの秘密鍵を制御することに成功した。特に後者への不正アクセスは時間がかかったようだ。

昨年11月、アクシーインフィニティとRoninのエコシステムを開発したSky Mavisが、ユーザー数の急増により無料トランザクションを配布するため、Axie DAOに協力を要請した。Axie DAOはSky Mavisをホワイトリスト化し、様々な取引の署名を代行していたが、12月にそのプロセスを中止した。しかし、ホワイトリストへのアクセスは取り消されていなかった。

攻撃者はSky Mavisのシステムへのアクセスを得ると、Axie DAOのバリデータから最終的な署名を取得し、それによってRoninからの不正な資金吸い上げに必要なノードを完成させた。記事執筆時点では、ハッキングされた資金の大半はまだハッカーのウォレット内に眠っている。

【関連記事:NFTゲーム Axie Infinityとは 人気の背景や今後について解説