Ang Malaking Hack sa Ronin Ngayong 2022 – Cryptoday 076 (Tagalog)

Nitong Miyerkules, March 30, inanusyo ng SkyMavis na ang kanilang Ronin Bridge ay na-hack at halos $625M halaga ng Ethereum at USDC ang nanakaw. Kalaunan namang tinama ang naunang halaga bilang “$541M noong oras ng pagnanakaw”, na siyang pangalawang pinakamalaking crypto hack sa kasaysayan. Ang record sa pinakamalaking hack ay nananatiling hawak ng Poly network theft na naganap noong August 2021 sa halagang $70M. (Marahil totoong nakakabahala ito dahil ang pangha-hack na ito sa Ronin ay nadiskubre lamang makalipas ang isang buong linggo matapos itong nangyari noong March 23.)

This opinion article translated into Tagalog by BitPinas is originally from Luis Buenaventura II’s Cryptoday Column here on April 2, 2022. The Tagalog translations of Cryptoday are published one day or two days after the English version is out. Luis is the country manager for the Philippines at Yield Guild Games, co-founder of BloomX, a licensed virtual asset exchange provider in the Philippines, and founder of the Cryptopop Art Guild. For any comments and questions, please message Luis directly on Twitter.

Ano nga ba ang Ronin Bridge

Simulan natin sa umpisa. Ang Ronin Bridge ay bahagi ng Ronin blockchain network, kaya ito ay nag-e-exist kasama ng mga service na tulad ng Katana decentralized exchange, ang Axie Infinity marketplace, at ang AXS staking pool. Ang pangunahin nitong ginagawa ay ang pagpahintulot sa pag-transfer ng mga asset mula sa Ronin patungo sa Ethereum, na tulad ng Rainbow Bridge sa mga Thor movies, na siyang nagkokonekta sa Asgard patungo sa ibang lugar tulad ng Earth. Kung walang Ronin Bridge, hindi mo magagawang mailipat ang mga kinita mong SLP mula sa mundo ng Ronin patungo sa mundo ng Ethereum. Pero… alam naman nating hindi ito masyadong accurate.

Bago ang Ronin bridge, mayroon na tayong ginagamit noon na centralized exchanges na tulad ng Binance bilang isang quasi-bridge patungong outside world. Sa oras na mai-transfer mo na ang iyong kinitang SLP patungong Binance, maaari mo nang gawin ang kahit anong bagay na nais mong gawin dito, kasama na rito ang pag-convert nito sa pesos. Ito ay isang popular na paraan, kaya’t hanggang ngayon ginagamit pa rin ang estratehiyang ito ng karamihan sa mga Axie players.

Kahit pa ang Ronin Bridge ang “opisyal” na paraan ng pag-transfer ng iyong tokens mula sa inner patungong outer world, ito pa rin ay ang hindi pinakatinatanggap na paraan sa paggawa nito. Ito ay isang mahalagang piraso ng impormasyon dahil noong sinimulang i-cover ng mainstream media ang nangyaring hack, may mga hindi pinag-isipang naratibo ang nailathala tungkol sa pagkakalugi umano ng mga low-income gamers ng halos $600M bilang resulta ng isyung ito sa seguridad. Sa pagkakaalam ko, wala sa mga iskolar ng YGG ang naapektuhan ng nasabing hack, sapagkat ang epekto nito ay nalimita lang sa isang bahagi ng Ronin ecosystem na hindi masyadong ginagamit ng aming mga iskolar.

Sino naman kaya ang nagmamay-ari ng mga funds na ito? Ang isang parte ng funds na ito ay pag-aari ng mga institusyon, mga whale, at mga yield farmer na nagdeposito ng kanilang ETH at USDC sa Ronin system upang makapagbigay ng liquidity para sa Katana DEX. (Kabilang ako sa mga farmers na ito). Mayroong halos $300M na nasa total liquidity sa Katana DEX bago ang nangyaring hack. Hindi ako sigurado sa status, pero ayon sa Analytics page mukhang nandoon pa rin ito, at sa katunayan, nagagawa ko pa ring tignan ang status ng aking RON/WETH at SLP/WETH yield farms kahit na ang buong exchange ay pansamantalang hininto.

Paano na-hack ang Ronin

Ngunit paano nga ba talaga nangyari ang pangha-hack? Ang Ronin Bridge ay pinatatakbo ng isang grupo ng validators – sila ay mga computer lamang na nagtutulungang i-verify kung totoo or legit ang mga transaksyong nangyayari sa bridge.

Ang ilan sa mga computer na ito ay pag-aari ng SkyMavis, samantalang ang iba ay pag-aari ng mga partner sa ecosystem. Sa kabuuan, mayroon lamang 9 na validators noong mga oras ng pag-atake, at apat lamang doon ang direktang pag-aari ng SkyMavis. Ang mga validator ang kumokontrol sa isang wallet na may lamang malaking halaga ng pera, dahil kailangan mo talaga ng malaking buffer kung nais mo ilipat ang funds ng buong community mula sa Ronin patungong Ethereum, vice versa.

Para mailabas ang mga funds mula sa bridge wallet, kinakailangan ng sistema ang 5 sa 9 na validators upang i-approve ang pag-transfer. Nagawang tuparin ng mga hackers ang requirement na ito sa pamamagitan ng paggamit ng social engineering upang makuha ang private keys ng 4 na mga validator ng SkyMavis, at isa pang set ng keys mula sa AxieDAO. Gamit ang 5 keys na ito, mayroon ka na talagang kontrol sa bridge kung tutuusin, dahil ito ang minimum requirement para sa pag-approve ng transaksyon. 

Ang ilan sa inyo na maalam sa Bitcoin (o kung sinomang ka-Ethererum na gumagamit ng Gnosis Safe) ay pamilyar sa nasabing security setup. Ito lamang ay isang m-of-n signature scheme, kung saang ang “m” ay ang minimum na bilang ng pirma na kailangan upang i-approve ang transaksyon at ang “n” naman ay ang kabuuang bilang ng mga stakeholders. Kadalasan sa mga maliliit na crypto company – kabilang ang luma kong kumpanya na Bloom – ang 3-of-5 ay isang katanggap-tanggap na lebel ng seguidad. Para manakawan ng isang hacker ang isang crypto company, kailangan niya munang ma-hack ang tatlo sa limang signatory.

Paano Ilalabas ng Hacker ang Pera?

Dahil tayo ay pisikal na nalalayo sa isa’t isa ngayon at gumagamit ng hardware wallet na tulad ng Ledgers o Trezors, mukhang lubos na mahihirapan ang hacker na bisitahin ang bawat isa sa amin na nasa iba’t ibang panig ngayon tuald ng Australia, La Union, Batangas, Metro Manila atbp. Dahil diyan, kung ipagpapalagay nating may isang taong gustong kumatok sa pinto namin, walang magiging teknikal na pagsubok para kanya kung nanaisin niyang pwersahang makuha ang aming mga provate key. Sapat na ang matubuhan sa mukha para sa mga ganoong sitwasyon. Ang kaibahan noon ng Ronin Bridge setup ay lahat ng mga private key nito ay online na nakatago. Kailangan ito sapagkat ang bridge ay isang automated service.

Hindi pa nailalarawan ng SkyMavis ngayon kung paano gumana ang isang pag-atake gamit ang  social engineering, ngunit sa palagay ko ito ay nakabase sa isang false identity.

Ano ang Sunod na Hakbang ng SkyMavis

So ano na ang ginagawa ng SkyMavis sa pagkakataong ito? Dalawang bagay na magkasabay: una, sila ay nakikipagtulungan ngayon sa mga alagad ng batas at mga blockchain forensic para mahuli ang mga hacker… at marahil iparanas rin sa kanila ang sinasabing “matubuhan sa mukha”. Pangalawa, kasalukuyan silang nagdadagdag ng bilang ng kinakailangang mga signatory para sa bawat transaksyon. Wala pang impormasyon kung sino ang magiging iba pang mga validator, pero palagay ko na ang pagkalat ng responsibiliad na ito sa mas maraming miyembro ng community ang bubuo muli sa tiwalang nawala sa protocol. 

Para mabigyan kayo ng kapanatagan (hindi ko ito forte, pero hayaan niyong subukan ko pa rin), sa tingin ko ay babanggitin ko na rin na bagaman sa kasamaang-palad normal na lamang ang mga hack sa mundo ng crypto, ngayon ay nagiging mas maayos na ang tugon ng kabuuan ng industriya sa mga bagay na ito. Bilang halimbawa, parehong lumipat kaagad ang Binance at Huobi sa block transaction mula sa address ng Ronin hacker. Huwag din nating kalimutan na kahit sa Poly Network hack, ang kinalabasan ay naibalik ng hacker ang $600M halagang nakulimbat. Ang nawalang $325M mula sa Wormhole hack nitong simula ng taon ay naibalik rin sa mga naapektuhang users. ‘Di ba nga, kahit ang pinakatanyag sa lahat ng hack, ang MtGOX, ang mga orihinal na investor ay nababayaran nang muli. Kaya kahit na ako ay medyo nababahala na baka mapeligro ang aking mga Ronin yield farm, buong ingat akong positibo na makakita ng isang magandang resolusyon para sa lahat sa mga susunod na linggo.

Nawa’y maging maganda ang linggong ito para sa inyo, mga ka-crypto!

This translation is published on BitPinas: Ang Malaking Hack sa Ronin Ngayong 2022 – Cryptoday 076