Axie Infinity 被黑客使用破解的私钥来伪造假提款，造成了约 6.25 亿美元（17.36 万枚以太坊和 2550 万 USDC）的损失

2022年3 月Axie Infinity遭遇了 DeFi（Decentralized Finance，即去中心化金融）史上最大的黑客攻击更是“雪上加霜”：3 月 29 日，Axie Infinity 被黑客使用破解的私钥来伪造假提款，造成了约 6.25 亿美元（17.36 万枚以太坊和 2550 万 USDC）的损失。

Axie Infinity 曾在去年 11 月达到顶峰：拥有 270 万日活跃用户，每周交易量高达 2.14 亿美元。或许是由于此后游戏热度的骤减动摇了 Axie Infinity 背后 Sky Mavis 开发团队的信心，总之黑客趁机向一名 Sky Mavis 高级工程师（以下用 E 代称）抛出了“诱饵”。

今年年初，黑客组织伪装成一所假公司，通过职业社交网站 LinkedIn 向 E 发送招聘广告，邀请 E 来他们的公司工作（实际上，这家公司并不存在）。

根据 3 月 29 日 Ronin 发布的公告来看，黑客早在 3 月 23 日就两次利用 Ronin Bridge 窃取了 17.36 万枚以太坊，以及价值超 2550 万美元的 USDC。但直到 3 月 29 日有玩家投诉无法从 Ronin 中提取 5000 枚以太坊之后，Ronin 才发现其验证器节点和 Axie DAO 验证器节点已遭到破坏。

在 Sky Mavis 于 4 月 27 日发布的关于黑客攻击的博客文章中，也隐晦提到了攻击源头：“员工不断受到各种社交渠道的网络钓鱼攻击，其中一名员工遭到入侵，目前这名员工已不在 Sky Mavis 工作。攻击者设法利用该员工的访问权限来渗透 Sky Mavis 的 IT 基础设施并获得对验证节点的访问权限。”

因此当时 Sky Mavis 表示，已将其验证节点数增加到 11 个，之后的长期目标是希望能拓展到 100 多个。

截止目前，Ronin Bridge 已于 6 月 28 日起重新开放，意味着 Axie Infinity 玩家可以从他们的游戏账户中存取资金，同时为了防止类似攻击的再次发生，Ronin Bridge 接受了两家知名区块链安全公司 Verichains 和 Certik 的内部审计和检查。此外，Sky Mavis 也表示会补偿受本次事件影响的用户，承诺向其返还丢失的资产。

MPC主动式安全

分布式节点签名增加节点个数，也很难避免被攻击。需要做到主动式安全才能够对此类攻击的成功率降低。

MPC主动式安全：拿到节点的时间点不同，获得的私钥会有不同，MPC私钥轮动解决时间点不同私钥不同的效果。系统设计者可以设置系统私钥轮动的时间点，这样今天拿到的节点1的私钥是无法和明天拿到的节点2的私钥构成有效MPC签名的，这样就无法转走账户上的数字货币。

论文How to Withstand Mobile Virus Attacks, Revisited中提到主动式安全模式，分布式密钥轮转逻辑，值得学习借鉴。