juuni 25, 2026, 12:31 p.l.

Ronin Networki rünnak: Kuidas varastati krüptovaluuta ajaloo suurimas röövis 625 miljonit dollarit?

Märtsis 2022 raputas krüptovaluuta maailma üks blockchaini ajaloo suurimaid turvarikkumisi. Axie Infinity mängu taristut toetavast Ronin Networkist varastati 625 miljoni dollari väärtuses krüptovaluutat. See juhtum sisaldab kriitilisi õppetunde mitte ainult rahalises mõttes, vaid ka blockchaini turvalisuse ja DeFi ökosüsteemi haavatavuste osas. Põhja-Koreaga seotud Lazarus Groupi läbi viidud see küberrünnak sai silmapaistvaks näiteks sellest, kuidas sotsiaalinsenerlik ja tehnilised nõrkused võivad koos põhjustada suurt katastroofi.

Ronin Network ja Axie Infinity ökosüsteem

Ronin Network on spetsiaalselt populaarse blockchaini-põhise mängu Axie Infinity jaoks välja töötatud Ethereumi külgahel (sidechain). Sky Mavise loodud taristu on kavandatud võimaldamaks mängijatel teha NFT ja krüptovaluuta ülekandeid madalate tehingutasude ja kiire töötlemisega. Axie Infinityst sai eriti Kagu-Aasias miljonite kasutajateni jõudnud pioneer platvorm, kus mängijad said mängides tulu teenida (play-to-earn).

Ronini sild (bridge) oli kriitiline komponent, mis võimaldas kasutajatel varasid üle kanda Ethereumi põhivõrgu ja Ronini külgahela vahel. Seda silla struktuuri kontrollisid validaatorsõlmede (validator nodes) nimetatavad kinnitajad. Süsteemi turvalisus tugines konsensusemehhanismile, mis nõudis kinnitust üheksast validaatorsõlmest viielt. Just see oli kriitiline haavatavuse punkt, mida ründajad sihtisid.

Rünnaku anatoomia: Lazarus Groupi osav plaan

Lazarus Group on küberkuritegelik organisatsioon, kellel arvatakse olevat sidemed Põhja-Korea valitsusega ja kes on varem tuntud Sony Picturesi, WannaCry lunavararünnaku ja paljude krüptovaluutavahetuste rüüstamiste poolest. Ronin Networki rünnak oli üks grupi tulusamaid operatsioone ja kuude pikkuse põhjaliku planeerimise tulemus.

Võlts tööpakkumine: sotsiaalsete võrgustike jõud

Rünnaku algus tehti klassikalise sotsiaalinsenerlikutaktikaga. Lazarus Groupi liikmed võtsid LinkedIni kaudu ühendust Sky Mavise vaneminseneridega, saates neile atraktiivseid tööpakkumisi. Need pakkumised olid äärmiselt professionaalse välimusega ja isikupärastatud vastavalt sihtmärgiksõetud töötajate karjäärieesmärkidele. Ründajad lõid usaldust, jäljendades tuntud krüptoettevõtteid.

Osana võltsvärbamisprotsessist saadeti sihtmärk-töötajatele PDF-dokument, et testida nende tehnilisi oskusi. See dokument näis olevat süütu ametijuhend või tehniline hindamisdokument, kuid sisaldas pahavara. Dokumenti avanud töötaja süsteem sattus ohtu ja ründajad said nii oma esimese juurdepääsu ettevõtte võrgule.

Privaatvõtmete hankimine

Pärast süsteemi sissetungimist liikus Lazarus Group võrgus edasi külgliikumise (lateral movement) tehnikaid kasutades. Ründajate tegelik sihtmärk olid validaatorsõlmi kontrollivad privaatvõtmed (private keys). Blockchaini süsteemides on privaatvõtmed kõige kriitilisemad turvaelemendid digitaalsete varade kontrollimiseks ja kui need on kord kätte saadud, läheb tehingute tegemise õigus täielikult ründajatele.

Ründajad suutsid kätte saada Sky Mavisele kuuluvate nelja validaatorsõlme privaatvõtmed. Kuid tehingute kinnitamiseks oli vaja viit võtit. Siin tuli mängu teine haavatavus: Axie DAO-le kuuluv validaatorsõlm. Sky Mavis oli varem saanud Axie DAO-lt loa kasutada nende validaatorsõlme suure tehingumahtude käsitlemiseks. Kuigi see luba lõppes novembris 2021, ei eemaldatud valge nimekirja (whitelist) konfiguratsiooni. See järelevalve viga andis ründajatele vajaliku viienda võtme.

Rünnaku avastamine ja tagajärjed

Üks üllatavamatest aspektidest oli rünnaku avastamiseks kuluv aeg. Esimesed volitamata tehingud tehti 23. märtsil 2022, kuid rikkumine avastati alles 29. märtsil, kui kasutaja teatas, et ei saa Ronini sillast ETH-d välja võtta. See kuuepäevane periood võimaldas ründajatel rahulikult üle kanda 173 600 Ethereumi ja 25,5 miljonit USDC stabiilmünti. Toonase väärtusega oli kogukahju umbes 625 miljonit dollarit.

Sky Mavis külmutas pärast avastamist kohe Ronini silla ja alustas koostööd õiguskaitseorganitega. USA rahandusministeeriumi välisvarade kontrolli büroo (OFAC) omistas rünnaku Lazarus Groupile ja listas kriiptvarade ülekandmiseks kasutatud rahakottide aadressid musta nimekirja. Kuid sel hetkel oli kahju juba tekitatud.

Õppetunnid blockchaini ja DeFi turvalisusest

Validaatorsõlmede turvalisus ja mitme allkirjaga süsteemid

Ronini rünnak näitas, et isegi detsentraliseeritud süsteemides võivad eksisteerida tsentraliseeritud haavatavuspunktid. Viie validaatori kontroll üheksast oli ühe organisatsiooni (Sky Mavis) käes, mis tegelikult lõi keskse tõrkepunkti. Blockchaini projektide jaoks on kriitiline tähtsusega hajutada validaatorsõlmed erinevatesse geograafilistesse asukohtadesse, erinevatesse organisatsioonidesse ja isoleeritud turvakeskkondadesse.

Mitme allkirjaga (multi-signature) rahakoti konfiguratsioonides suureneb turvalisus seda rohkem, mida kõrgem on läviväärtus. Näiteks 7/9 või 8/9 asemel 5/9 teeb ründajate töö raskemaks. Kuid see on valik, mida tuleb tasakaalustada operatiivse efektiivsusega.

Privaatvõtmete haldamine ja riistvaraturvalisus

Privaatvõtmete hoiustamine on krüptoturvalisuse nurgakivi. See rünnak tõi taas esile riskid, mis kaasnevad privaatvõtmete hoidmisega võrgus olevates süsteemides (hot wallets). Hardware Security Module (HSM) või võrguühenduseta külmad rahakotid (cold wallets) peaksid olema kriitilistele võtmetele standard. Eriti suuri väärtusi kontrollivate võtmete puhul tuleks kasutada selliseid täiustatud krüptograafilisi meetodeid nagu mitme osapoole arvutus (multi-party computation - MPC) või lävikrüptograafia (threshold cryptography).