28 июня 2022 года состоялся успешный перезапуск сайдчейна Ronin. Сеть не работала несколько месяцев: ее работу остановили после масштабного взлома кроссчейн-моста в конце марта. В результате атаки злоумышленники похитили криптовалюты общей стоимостью $625 млн. В этом материале мы собрали все самые важные детали о Ronin и его перезапуске.
Для чего был нужен сайдчейн Ronin?
Ronin — проект компании Sky Mavis, которая развивает популярную блокчейн-игру Axie Infinity. Изначально приложение работало на Ethereum, однако ее пропускной способности не хватало, чтобы обрабатывать внутриигровые операции.
Тогда Sky Mavis разработала решение второго уровня — сайдчейн Ronin. Каналом связи между ним и Ethereum был кроссчейн-мост Ronin Bridge, благодаря которому в Axie Infinity можно было переводить активы стандарта ERC-20.
В 2021 году популярность игры резко возросла: только с мая 2021-го по январь 2022 года 1,44 млн покупателей совершили в ней примерно 12,6 млн транзакций с невзаимозаменяемыми токенами (NFT).
Axie Infinity стала абсолютным лидером по объему торгов NFT: за 2021 год оборот NFT в этом приложении оценивают в сумму $3,5 млрд до $3,85 млрд, тогда как у ближайшего конкурента, NBA Top Shot, этот показатель составил лишь $827 млн.
Из-за ажиотажа вокруг игры ставка на сайдчейн себя оправдала. По оценкам аналитиков, только в ноябре 2021 года Ronin обработал более 560% от общего количества транзакций в Ethereum.
Скорость работы Ronin была примерно в 4 раза выше, чем в сети Ethereum. Благодаря Ronin сделки на торговой площадке Axie и перевод активов в сети выполнялись в течение нескольких секунд.
Ronin также решала проблему высоких комиссий в сети. Плата за газ в Ethereum может колеблется от $100 до $200, что делало микротранзакции не экономичными.
Кроме того, пользователи официального кошелька Ronin Wallet получали определенное число бесплатных транзакций за совершение различных действий в Axie Infinity, а также за хранение в кошельке NFT-персонажей (Axie) или виртуальных участков земли.
Как взломали Ronin?
В конце марта 2022 года сайдчейн Ronin, используемый в Axie Infinity, стал жертвой одной из самых масштабных хакерских атак за всю историю децентрализованных финансов (DeFi).
Воспользовавшись эксплойтом, злоумышленники вывели криптоактивы на сумму более чем $625 млн: 173 600 ETH и 25,5 USDC.
Брешь в системе безопасности разработчики обнаружили лишь спустя неделю после атаки. Выяснилось, что один из сотрудников команды подвергся фишинговой атаке, в результате чего злоумышленник получил доступ к инфраструктуре компании и валидаторам Ronin.
В сети Ronin работали всего 9 валидаторов. При этом для подтверждения транзакции были нужны подписи только 5 из них. На момент атаки Sky Mavis управляла 4 из 9 валидаторов. Контроль над еще одним недостающим валидатором, которым управляло Axie DAO, хакеры получили с помощью бэкдора, связанного с безгазовой RPC-нодой Ronin.
Подобная архитектура противоречила базовым правилам безопасности. Обычно в блокчейне валидатор-нодами управляют разные команды или компании, которые сохраняют распределенную структуру. Создатели Ronin же использовали централизованный подход — значительная часть валидаторов принадлежала одной компании. Это и стало роковой ошибкой.
Есть ли у Ronin свой токен?
В начале 2022 года Sky Mavis выпустила токен RON. Этот актив предназначен для управления проектом и используется для транзакций в сети Ronin. После взлома цена RON начала снижаться и упала с уровня $2,3 в конце марта 2022-го до $0,2 к концу июня.
После сообщения о перезапуске сайдчейна курс RON вырос примерно на 40% в течение недели и к моменту события достиг отметки $0,36. Однако наблюдатели отмечают неуклонное падение доходов использующей Ronin блокчейн-игры Axie Infinity и плохую токеномику проекта.
Какие приложения работали на Ronin?
Кроме Axie Infinity, основным приложением сайдчейна был Ronin Wallet, позволявший хранить криптоактивы, связанные с игрой. Также в экосистеме работала децентрализованная биржа Katana (Ronin DEX), где можно было обменивать внутриигровые криптовалюты.
Что произошло после перезапуска?
Разработчики блокчейн-игры перезапустили Ronin после обновления системы безопасности и проведения нескольких раундов аудита исходного кода Ronin Bridge. Кроме того, они внедрили новые механизмы безопасности, в частности автоматический «выключатель», который останавливает работу моста при попытке провести через него своп подозрительно большого размера. Сейчас для Ronin Bridge действует лимит на вывод средств — $50 млн в сутки.
Сразу после инцидента Sky Mavis увеличила число валидаторов, необходимых для подтверждения транзакций в Ronin. В компании обещали провести децентрализацию сети и довести число работающих нод до 100, а также внедрить архитектуру нулевого доверия.
После перезапуска в Ronin Network ввели институт «управляющих», которые будут голосовать за добавление новых валидаторов, апгрейды смарт-контрактов, изменение суточного лимита для кроссчейн-моста и другие крупные изменения в блокчейне.
Один из важнейших элементов перезапуска — компенсация украденных средств. Еще в апреле разработчики Ronin привлекли для этой цели финансирование на сумму $150 млн. Еще $450 млн в Sky Mavis обещали выплатить за счет собственных денег.
Как говорится в заявлении о перезапуске, все украденные пользователям wETH и USDC были им возвращены, и эти средства полностью обеспечены соответствующим залогом в сети Ethereum. В свою очередь, судьба еще 56 000 wETH, украденных из казны Axie DAO, остается неизвестной — их рассчитывают вернуть в результате расследованию правоохранительных органов.
Как переводить активы из Ethereum в Ronin?
Кроссчейн-мост для Ronin уже работает. Через него в Ronin можно перевести из Ethereum ETH, AXS (нативная монета экосистемы), SLP (главный внутриигровой актив Axie Infinity) или стейблкоин USDC. Для свопа понадобится браузерный кошелек, поддерживающий Ethereum, а также Ronin Wallet.
Что еще почитать?
Что такое ДАО?
Что такое решения масштабирования второго уровня?
Что такое MetaMask?
Что такое трилемма блокчейна?
Что такое кроссчейн-мосты?
