3 月 29 日，目前规模最大、也最受追捧的区块链游戏 Axie Infinity 遭黑客入侵。

这次攻击，共有 17.36 万枚以太坊和 2550 万个稳定币 USDC 被盗，直接损失预计高达约 6.25 亿美元，创下去中心化金融（DeFi）系统有史以来的最大攻击记录。

攻击发生后，Axie Infinity 相关数字资产价格出现断崖式下跌，其中，Ron 代币单日下跌22%、AXS 下跌约 9%，去中心化金融系统安全被推上风口浪尖。

Axie Infinity 诞生于 2018 年，由越南工作室 Sky Mavis 创立。一开始构思时，工作室希望能够开发一款不仅好玩、还能挣钱的游戏，不然单纯为了娱乐的话，未免显得不够上档次。

于是，一款基于以太坊、同时融合了《宠物小精灵》、《放置奇兵》和《最终幻想》等经典玩法的游戏 Axie Infinity，就诞生了。

Axie Infinity 的意义在于，它开创了一种全新的游戏模式——Play to Earn。

这款游戏的主角，是类似宠物小精灵的 Axie，玩家通过收集、训练自己的 Axie，与其他玩家的 Axie 进行战斗。当然，如果你是佛系玩家，也可以把 Axie 当成宠物来抚养。

在支付起始费用后，玩家通过玩游戏，就能快乐赚取基于以太坊的游戏内代币，每 14 天就可以兑现。

诞生之初，Axie Infinity 并没有顺利蹿红，直到 2019 年底新冠疫情爆发，很多人因为隔离而失业，这反倒给了 Axie Infinity 机会。

最典型的是东南亚地区，民众收入水平普遍不高，居家在家无聊，半信半疑打开游戏，结果发现真能赚钱，靠玩游戏就能月入 400 美元，比当地平均工资还高。

于是乎，甭管是白发老翁还是青葱孩童，也甭管知不知道以太坊区块链，反正只要能看清屏幕，大家都开始玩 Axie Infinity。

只要能赚钱，管那么多干嘛呢。

越来越火爆之后，2020 年 11 月，工作室 Sky Mavis 获得美国加密货币投资公司 Delphi Digital 的 86 万美元首笔融资，并在其帮助下，进一步优化了游戏的生态体系。

2021 年 4 月，Axie Infinity 日活用户数约 3.8 万，可到了年底，月活数已逼近 300 万。

再看收入情况，2021 年 8月，Axie Infinity 单月收入为 3.34 亿美元，远超《王者荣耀》同期 2.31 亿美元的收入规模。

截止今年 2 月底，Axie Infinity 的 NFT 历史销售额突破 40 亿美元，成为全球规模最大的 NFT 游戏。

看似顺风顺水，可就在 3 天前，也就是 3 月 29 日，一场毫无征兆的黑客攻击突然降临。

游戏虽然是基于以太坊，可为了解决使用以太坊主链费用高的问题，Axie Infinity 自行开发了一条侧链 Ronin。

侧链 (sidechain) 与二层 (layer-2) 不同，二层的资产安全由一层主链来保证，而侧链则是一条独立的链，安全性全靠自己。

Axie Infinity 开发侧链 Ronin，最大的安全隐患并不在于侧链本身，而在于连接侧链与主链之间的「跨链桥」(bridge)。

跨链桥，顾名思义，就是让用户能够把资产从主链转移到侧链，或者从侧链转移到主链。

所谓的跨链，并不是把真正的资产“跨”到对面桥上去，而是在桥的这端锁定真实资产，同时在桥的另一端生成一张“白条”，面额与被锁定的真实资产相同。

可是，虽然跨链没有把真实资产“跨”过去，但如果跨链桥被攻击，就意味着生成的那张“白条”归零了，属于你的真实资产自然也就归零了。

如果是一条无人问津的跨链桥，没几个黑客会感兴趣，可 Axie Infinity 的侧链 Ronin 就不同了，玩家如此众多，跨链资金也大，简直是个金库，被黑客盯上也就不奇怪了。

为了达成更高效交易的目的，Ronin 采用的是 PoA (Proof of Authority) 共识机制，并用了更少的验证节点（目前是 9 个）来获得更快的转账速度。

在这样的设置下，如果需要存款或取款，只需要验证 9 个节点中的 5 个就可以。

根据 Sky Mavis 发布的公告显示，攻击者发现了一个后门，并通过后门控制了 Sky Mavis 的 4 个 Ronin 验证器，以及一个由 Axie DAO 运行的第三方验证器。

这不，5 个节点齐活，黑客卷走了所有的钱。

事实上，这个攻击早在 3 月 23 日就发生了，可直到 3 月 29 日，有用户表示无法提取 5000 枚以太坊时，才发现资产已经被盗空。

攻击发生后，Ronin 上的 ETH 和 USDC 存款都已从桥接合约中耗尽。

目前，Sky Mavis 已经将 Ronin 的验证器门槛从 5 个提高到了 8 个，并进一步分散和增加了验证器总数。

此次被盗的资产，一部分是玩家资产，另一部分是 Axie Infinity 的官方储备资产。

对于用户的损失，Sky Mavis 表示，虽然被盗资产很难追回，但 Axie 将尽力补偿用户，可能的方式包括：以折扣价向用户出售代币，或者从拥有 16 亿美元资产的 Axie 社区“金库”中提取资金来偿还。

这次攻击，再次给去中心化系统的安全问题敲醒了警钟，毕竟，在行业大肆描绘的繁荣来临之前，信任才最为关键。

文 | 木子Yanni

嗨，这里是浅黑科技，在未来面前，我们都是孩子。

想看更多科技故事，欢迎戳→微信公众号：浅黑科技：qianheikeji