Ronin Network: Krypto-peliyhtiö Axie Infinityltä varastettiin 625 miljoonaa dollaria

  • Etusivu
  • Blog
  • Ronin Network: Krypto-peliyhtiö Axie Infinityltä varastettiin …
Ronin Network: Krypto-peliyhtiö Axie Infinityltä varastettiin 625 miljoonaa dollaria
25. kesäkuuta 2026 kello 12.31

Ronin Network -hyökkäys: Kuinka 625 miljoonaa dollaria varastettiin kryptohistorian suurimmassa ryöstössä?

Maaliskuussa 2022 kryptovaluuttamaailma järkkyi yhdessä blockchain-historian suurimmista tietoturvaloukkauksista. Axie Infinity -pelin infrastruktuurin muodostaneesta Ronin Networkistä varastettiin 625 miljoonan dollarin arvosta kryptovaluuttaa. Tämä tapaus sisältää kriittisiä oppeja paitsi taloudellisesta näkökulmasta, myös blockchain-turvallisuuden ja DeFi-ekosysteemin haavoittuvuuksien osalta. Pohjois-Koreaan yhdistetyn Lazarus Groupin toteuttama kyberhyökkäys oli silmiinpistävä esimerkki siitä, kuinka sosiaalinen manipulointi ja tekniset haavoittuvuudet voivat yhdistyä ja johtaa suureen katastrofiin.

Ronin Network köprüsüne yönelik siber saldırı görseli
Ronin Network -siltaan kohdistunut kyberhyökkäys

Ronin Network ja Axie Infinity -ekosysteemi

Ronin Network on suositulle blockchain-pohjaiselle Axie Infinity -pelille erityisesti kehitetty Ethereum-sivuketju (sidechain). Sky Mavisin luoma infrastruktuuri suunniteltiin mahdollistamaan pelaajille NFT- ja kryptovaluuttasiirrot alhaisin transaktiokustannuksin ja nopeasti. Axie Infinitystä tuli edelläkävijäalusta, joka saavutti miljoonia käyttäjiä erityisesti Kaakkois-Aasiassa ja jossa pelaajat voivat ansaita pelaamalla (play-to-earn).

Ronin-silta (bridge) oli kriittinen komponentti, joka mahdollisti käyttäjille omaisuuden siirron Ethereum mainnetin ja Ronin-sivuketjun välillä. Tätä siltarakennetta kontrolloivat validaattorinoodit (validator nodes). Järjestelmän turvallisuus perustui konsensusmekanismiin, joka vaati yhdeksästä validaattorinoodista viiden hyväksynnän. Juuri tämä kohta oli kriittinen haavoittuvuus, johon hyökkääjät kohdistivat iskun.

Hyökkäyksen anatomia: Lazarus Groupin taitava suunnitelma

Lazarus Group on sofistikoitu kyberrikollisjärjestö, jonka uskotaan olevan yhteydessä Pohjois-Korean hallitukseen ja joka on aiemmin tullut tunnetuksi Sony Pictures -hyökkäyksestä, WannaCry-haittaohjelmahyökkäyksestä ja lukuisista kryptovaluuttapörssiryöstöistä. Ronin Network -hyökkäys oli yksi ryhmän kannattavimmista operaatioista ja kuukausien huolellisen suunnittelun tulos.

Väärennetty työtarjous: Sosiaalisen manipuloinnin voima

Hyökkäys alkoi klassisella sosiaalisen manipuloinnin taktiikalla. Lazarus Groupin jäsenet ottivat yhteyttä Sky Mavisin vanhempiin insinööreihin LinkedInin kautta lähettämällä houkuttelevia työtarjouksia. Nämä tarjoukset vaikuttivat erittäin ammattimaisilta ja oli räätälöity kohdistettujen työntekijöiden uratavoitteisiin. Hyökkääjät rakensivat luottamusta jäljittelemällä tunnettuja kryptoyhtiöitä.

Osana väärää rekrytointiprosessia kohteena oleville työntekijöille lähetettiin PDF-asiakirja heidän teknisten taitojensa testaamiseksi. Tämä asiakirja oli näennäisesti viaton työnkuvaus tai tekninen arviointidokumentti, mutta sisälsi haittaohjelman. Asiakirjan avaneen työntekijän järjestelmä vaarantui ja hyökkääjät saivat näin ensimmäisen pääsyn yritysverkkoon.

Yksityisavainten anastaminen

Tunkeutumisen jälkeen Lazarus Group eteni verkossa sivuttaisliikkeiden (lateral movement) tekniikoilla. Hyökkääjien todellinen tavoite olivat validaattorinoodeja kontrolloivat yksityisavaimet (private keys). Blockchain-järjestelmissä yksityisavaimet ovat kriittisin turvallisuustekijä digitaalisten varojen hallinnassa, ja kun ne on anastettu, siirtyy näillä avaimilla tapahtumien tekemisen valtuutus kokonaan hyökkääjille.

Hyökkääjät onnistuivat anastamaan neljän Sky Mavisille kuuluvan validaattorinoodin yksityisavaimet. Transaktioiden vahvistamiseen tarvittiin kuitenkin viisi avainta. Tässä vaiheessa astui kuvaan toinen haavoittuvuus: Axie DAO:lle kuuluva validaattorinoodi. Sky Mavis oli aiemmin saanut luvan käyttää Axie DAO:n validaattorinoodeja korkean transaktiovolyymin käsittelyyn. Vaikka tämä lupa päättyi marraskuussa 2021, valkoistaluettelo (whitelist) -konfiguraatiota ei ollut poistettu. Tämä valvontavirhe tarjosi hyökkääjille tarvittavan viidennen avaimen.

Validator node'lardan özel anahtar çalınması görseli
Yksityisavaimen varastaminen validaattorinoodeilta

Hyökkäyksen paljastuminen ja seuraukset

Yksi hämmästyttävimmistä tekijöistä oli hyökkäyksen paljastumisaika. Ensimmäiset luvattomat transaktiot suoritettiin 23. maaliskuuta 2022, mutta tietomurto paljastui vasta 29. maaliskuuta, kun käyttäjä ilmoitti, ettei voinut nostaa ETH:ta Ronin-sillalta. Tämä kuuden päivän ajanjakso antoi hyökkääjille mahdollisuuden siirtää rauhassa 173 600 Ethereumia ja 25,5 miljoonaa USDC-stablecoinia. Aikakauden arvon mukaan kokonaisvahinko oli noin 625 miljoonaa dollaria.

Sky Mavis jäädytti Ronin-sillan heti paljastumisen jälkeen ja aloitti yhteistyön lainvalvontaviranomaisten kanssa. Yhdysvaltain valtiovarainministeriön ulkomaisten varojen valvontatoimisto (OFAC) yhdisti hyökkäyksen Lazarus Groupiin ja lisäsi kryptovaluuttojen siirron kohteena olleet lompakko-osoitteet mustalle listalle. Tässä vaiheessa vahinko oli kuitenkin jo tapahtunut.

Blockchain- ja DeFi-turvallisuudesta opittavat läksyt

Validaattorinoodin turvallisuus ja moniallekir joitusjärjestelmät

Ronin-hyökkäys osoitti, että hajautetuissa järjestelmissäkin voi olla keskitettyjä haavoittuvuuskohtia. Yhdeksästä validaattorista viiden hallinta oli yhdellä organisaatiolla (Sky Mavis), mikä loi käytännössä keskitetyn vikapisteen. On kriittisen tärkeää, että blockchain-projektit jakavat validaattorinoodit eri maantieteellisiin sijainteihin, eri organisaatioihin ja eristettyihin turvallisuusympäristöihin.

Moniallekir joitus (multi-signature) -lompakon konfiguraatioissa turvallisuus kasvaa sitä mukaa, mitä korkeampi kynnysarvo on. Esimerkiksi 7/9 tai 8/9 kaltainen korkeampi kynnys 5/9:n sijasta vaikeuttaa hyökkääjien työtä. Tämä on kuitenkin valinta, jossa on tasapainotettava operatiivista tehokkuutta.

Yksityisavainten hallinta ja laitteistoturvallisuus

Yksityisavainten säilytys on kryptoturvallisuuden kulmakivi. Tämä hyökkäys toi jälleen esiin riskit, jotka liittyvät yksityisavainten säilyttämiseen online-järjestelmissä (hot wallets). Hardware Security Module (HSM) tai offline-kylmälompakko (cold wallet) -ratkaisujen tulisi olla standardi kriittisille avaimille. Erityisesti suuriarvoisia varoja kontrolloivien avainten osalta tulisi käyttää kehittyneitä kryptografisia menetelmiä, kuten multi-party computation (MPC) tai threshold cryptography.

Samankaltaiset kirjoitukset

Kyberturvallisuustietoisuuskoulutus: Päätelaiteturvallisuus ja EDR — IT-opas
Kyberturvallisuustietoisuuskoulutus: Kyberriskien hallinta ja liiketoiminnan jatkuvuus ylimmälle johdolle
Kyberturvallisuustietoisuuskoulutus: Paikkausten ja Päivitysten Hallinta — IT-Turvallisuusmenettelyt

Kategoriler

Viimeisimmät kirjoitukset

Kyberturvallisuustietoisuuskoulutus: Päätelaiteturvallisuus ja EDR — IT-opas

Kyberturvallisuustietoisuuskoulutus: Päätelaiteturvallisuus ja EDR — IT-opas

14. toukokuuta 2026
Kyberturvallisuustietoisuuskoulutus: Kyberriskien hallinta ja liiketoiminnan jatkuvuus ylimmälle johdolle

Kyberturvallisuustietoisuuskoulutus: Kyberriskien hallinta ja liiketoiminnan jatkuvuus ylimmälle johdolle

14. toukokuuta 2026
Kyberturvallisuustietoisuuskoulutus: Paikkausten ja Päivitysten Hallinta — IT-Turvallisuusmenettelyt

Kyberturvallisuustietoisuuskoulutus: Paikkausten ja Päivitysten Hallinta — IT-Turvallisuusmenettelyt

14. toukokuuta 2026
Kyberturvallisuustietoisuuskoulutus: Suojautuminen sosiaalisen manipuloinnin hyökkäyksiltä

Kyberturvallisuustietoisuuskoulutus: Suojautuminen sosiaalisen manipuloinnin hyökkäyksiltä

14. toukokuuta 2026
Kyberturvallisuustietoisuuskoulutus: Kiristyshaittat (Ransomware) — Kuinka Työntekijät Suojautuvat?

Kyberturvallisuustietoisuuskoulutus: Kiristyshaittat (Ransomware) — Kuinka Työntekijät Suojautuvat?

14. toukokuuta 2026

Suositut tunnisteet