قصة مثيرة.. سرقة 600 مليون دولار عملات رقمية في لعبة Axie

كشفت شركة سكاي مافيز (Sky Mavis) مطور لعبة Axie Infinity، الإثنين الماضي، عن اختراق ضخم لشبكة اللعبة وسرقة أكثر من نصف مليار دولار.

ونتج عن الاختراق تحويل 173.6 ألف وحدة من عملة الإيثيريوم بقيمة 594.6 مليون دولار بالإضافة إلى 25.5 مليون دولار على شكل وحدات من عملة "USDC"، ليصبح الإجمالي 620 مليون دولار.

ونشرت بوابة " venturebeat" لرصد الأخبار التقنية والاقتصادية في أمريكا وكندا، تقريرا قالت خلاله "إذا لم تتمكن سكاي مافيز - الشركة المصنعة للعبة Axie Infinity blockchain - من استرداد الأموال المنهوبة، فهذه ضربة كبيرة لخزنتها الإجمالية وعين سوداء للأمان المستند إلى البلوكتشين".

• بعد نجاحه في اختراقها.. منصة مالية تكافئ "هاكر" بوظيفة أمنية

ما هي لعبة Axie؟

وتعد Axie Infinity من الألعاب الأولى التي بنيت على مفهوم البلوكتشين أو تقنية سلاسل الكتل، وكل لاعب يستطيع شراء أو اقتناء السلع الرقمية عبرها، وملكيته تسجل على البلوكتشين.

من أجل اللعب، كل لاعب عليه شراء ثلاث سلع رقمية NFTs أو شخصيات افتراضية تدعى Axies. تتنافس الشخصيات الافتراضية فيما بينها، والفوز يكسبها نقاطا إضافية تسمى Smooth Love Potions. النقاط الإضافية تزيد من قوة الشخصيات، وكذلك يمكن بيعها للاعبين آخرين.

في بادئ الأمر، اللعبة لاقت اهتماما جيدا في بعض الدول مثل الفلبين، حيث إن بعض الفلبينيين كانوا يعتبرونها مصدر دخل ووظيفة. مع ازدياد عدد اللاعبين، زاد بالضرورة حجم النقاط الإضافية SLPs المطروحة في السوق مؤثرا على سعرها.

ثغرة واحدة وراء الاختراق

اللعبة مبنية على بلوكتشين إيثيريوم، وهي تقنية تحتاج إلى وقت لمعالجة البيانات والحركات، والذي بات مؤرقا مع زيادة عدد المستخدمين. للتغلب على هذا العائق، المطور استخدم تقنية تسمى sidechain وهي شبكة بلوكتشين موازية للشبكة الأصلية وتقلل من وقت معالجة البيانات. هذه الشبكة الموازية أسماها المطور باسم Ronin.

في تقنية البلوكتشين، تسجيل أي حركة يتطلب التأكيد من جميع الجهات أو النقاط Nodes المشاركة. أما في تقنية البلوكتشين الموازية Sidechain، التأكيد مطلوب من عدد محصور من النقاط الموثوقة Trusted Nodes، وبالتالي تقليل وقت معالجة الحركات. بدلا من أخذ تأكيد الكل، حصرها في عدد محدود من النقاط الموثوقة. شبكة Ronin كان تتطلب التأكيد من تسع نقاط موثوقة، وهو كان نقطة الضعف التي استغلها المخترق.

المخترق استطاع الدخول إلى شبكة اللعبة واختراق مفاتيح التشفير، وسيطر على أربع نقاط موثوقة في شبكة Ronin، ومنها استغل ثغرة أخرى مسيطرا على النقطة الخامسة. وبالسيطرة على خمس نقاط موثوقة، المخترق صار قادرا على تأكيد الحركات لأنه أحكم السيطرة على أغلبية النقاط الموثوقة (خمس من أصل تسع نقاط موثوقة).

الاختراق لم يكشف إلا بعد ست أيام عندما فشلت حركة تحويل بقيمة ٥٠٠٠ إيثيريوم. قبلها المخترق نجح في سرقة مئات ملايين الدولارات عبر السيطرة على معظم نقاط شبكة Ronin، وحول أكثر من ١٧٠ ألف إيثيريوم إلى محفظة إلكترونية خاصة. معظم المسروقات ما زالت في المحفظة، والأعين حاليا تراقبها لمحاولة تعقب حركاتها.

هذا الاختراق من بين الأضخم في عالم العملات الرقمية، وقد سبقه اختراقات أخرى مثل اختراق منصة Polygon الصيف الماضي والذي نجم عنه سرقة 600 مليون دولارا. كلها تخبر أن تقنيات البلوكتشين ليست محصنة من الاختراق، واعتبار أمنها أولوية حاجة ماسة لا غنى عنها.