DATASIKKERHET
Norsk gründer offer for et av tidenes største krypto-ran: «Tyvene viser stor kompetanse»
Hackere har stjålet krypto for 5,3 milliarder kroner fra en tjeneste knyttet til Sky Mavis. Den norske gründeren bak selskapet sier til Shifter at de har los på pengene, men er usikker på om de får igjen det tapte.
Kryptospillet Axie Infinity og selskapet bak, Sky Mavis, har hatt en eksplosiv vekst de seneste par årene og hentet i fjor kapital til en verdivurdering på hele 25 milliarder kroner fra noen av verdens mest prestisjetunge venture-navn (og noen små norske).
I gründerkvintetten i det vietnamesiske selskapet er nordmannen Aleksander Leonard Larsen. Han er også COO, eller driftssjef.
Nå har selskapet blitt utsatt for det som beskrives som det hittil største ranet av kryptovaluta.
Hackere skal ha stjålet krypto verdt 600 millioner dollar, tilsvarende 5,3 milliarder norske kroner, fra det tilknyttede nettverket Ronin. Det skriver selskapet på sin egen blogg.
– Vi har nå kontroll på omfanget av situasjonen og jobber med å resette vårt interne nettverk slik at man unngår noe liknende når vi åpner broen igjen, skriver Larsen i en e-post til Shifter.
Slik gjorde hackerne det
Axie Infinity benytter en såkalt «play-to-earn»-modell, som i bunn og grunn betyr at du kan vinne, handle og bytte «tokens» eller NFT-er i spillet, som kan veksles inn i enkelte Ethereum-baserte kryptovalutaer.
For å gjøre transaksjonene så smidig som mulig, har Sky Mavis bygget det nevnte Ronin-nettverket. Den Ethereum-baserte blokkjeden er spesialtilpasset spillsuksessen, og det er en såkalte bro som lar folk konvertere tokens til mynter som kan brukes på et annet nettverk, som er angrepet.
Hackerne skal ha kommet seg inn i systemene ved å lure til seg fem private nøkler. Ronin-nettverket er satt opp med ni forskjellige verifiseringspunkter, men bare fem av disse må gi grønt lys for at en transaksjon skal bli godkjent, skriver gamer.no. I bloggposten skriver Ronin at de nå vil øke sikkerhetskravene til godkjenning fra åtte nøkler.
Tyvene har stukket av med 173.600 Ethereum og 25.5 millioner USDC (en «stablecoin» som følger den amerikanske dollaren). Innbruddet skal ha blitt gjennomført allerede 23. mars, men det ble ikke oppdaget før nesten en uke senere.
– At ingen legger merke til det på seks dager, skriker at en eller annen struktur bør være på plass for å oppdage ulovlige overføringer, sa Wilfred Daye, leder for kapitalforvaltningsavdelingen i Securitize Inc, til Bloomberg.
Har los på pengene
I bloggposten skriver selskapet at det har tatt flere grep for å unngå at brukere taper penger på dette. Selskapet jobber blant annet med «flere offentlige etater» for å finne de kriminelle.
Hvordan og i hvor stor grad angrepet kommer til å ramme brukerne, er likevel fortsatt usikkert, ifølge Larsen.
– Det kommer an på om vi får pengene tilbake, eller dekker det inn på en annen måte, skriver han.
Han ser det ikke som umulig at de vil klare å få igjen det tapte.
– Men tar nok litt tid. Tyvene viser stor kompetanse i mye av det de gjør. Foreløpig har vi en del leads til pengene men det er et stykke igjen, ifølge Larsen.
I diverse kommentarfelt og nettforum, deriblant på Ronin sin egen nettside, blir det påpekt at det tidligere har vært flere mindre tyveri knyttet til Axie Infinity, og det reageres på at det først tas grep når spillere med større innsats rammes. Tyveriet ble oppdaget da en bruker ikke klarte å ta ut 5000 Etherum, tilsvarende i underkant av 150 millioner kroner, fra plattformen.
– Dette er den første hacken på Ronin network. Tidligere har små summer blitt stjålet direkte fra brukere når de har delt passordet sitt eller lignende, skriver Larsen.
Det eneste krypto-tyveriet som kan måle seg med dette i verdier stjålet, er ifølge Digi.no angrepet på Poly Network i fjor sommer. Da ga tyven pengene tilbake.