【GameLook专稿，未经授权不得转载！】

GameLook报道/Sky Mavis旗下的区块链平台Ronin网络3月30日发布社区警报称，由于Ronin跨链桥存在安全漏洞，早在3月23日，Sky Mavis的Ronin验证器节点和Axie DAO验证器节点遭到了黑客的破坏，黑客先后通过两笔交易，从Ronin桥接了17.36万个ETH和2550万美元的现金至自己的账户钱包中。

根据3月30日ETH对美元的汇率，此次黑客攻击事件中仅被盗了17.36万个ETH价值就高达5.91亿美元，这也让Sky Marvis在本次事件中的损失达到了6.1亿美元（约合38.75亿元人民币）。

作为撑起全球NFT游戏领域大半边天的存在，Sky Marvis旗下的《Axie Infinity》的NFT技术正是基于Ronin链，去年7月，《Axie Infinity》的日活用户一度超过了100万，月收入更是高达1.96亿美元，这也是Sky Mavis在去年10月份以30亿美元的估值筹集了1.52 亿美元。

根据NonFungible发布的《NFT市场2021年度报告》，2021年《Axie Infinity》交易额高达34.85亿美元，位居区块链游戏类别的第一，几乎是第二名NBA Top Shot（8.2亿美元）的4.25倍。

在此次攻击后，不仅区块链平台的安全性会受到普遍的质疑，《Axie Infinity》和Sky Marvis恐怕也会大受影响，虽然官方已经锁定了黑客的钱包地址，但由于匿名和去中心化等原因，被盗的以太坊将很难追回，但如果无法追回遗失的资金，Sky Marvis就需要自己掏钱填补这个6亿美元的窟窿。

2014年，一家名为Mt.Gox的日本加密货币交易所的前执行长监守自盗，以至于当时公司损失了近85万比特币，约占当年世界比特币总量的7%，在暂停网上交易后不久，由于难以偿还债务，平台随后便申请了破产保护，不久后便倒闭了。

一周前就进贼了

根据Sky Marvis的介绍，旗下的Ronin链目前由9 验证节点组成，在日常交易中，为了平衡安全和效率，通常只需要九个验证节点中的五个签名。但在2021年11月，由于Ronin链上的用户负载巨大，Sky Mavis请求Axie DAO（去中心化的自治组织）帮助分发交易，引入了该组织的第三方验证器。

而在此次攻击中，黑客就是利用了Sky Mavis的远程过程调用（Remote Procedure Call，简称为RPC）节点的漏洞，设法盗走了五个验证者的私钥，控制了四个Ronin验证器和一个由Axie DAO运行的第三方验证器。获得五个签名后，黑客便成功地进行了虚拟货币的转移行动。

有趣的是，黑客的攻击行为早在3月23日，也就是七天前就成功了，Ronin 上的以太坊和美元存款直接被全部盗走，但这一行为在当时并没有得到官方的重视，直到今天早些时候，一名大R用户，试图从Ronin跨链桥中提取5千以太坊却失败，然后向官方反馈后，Sky Marvis才注意到自己后院被人搬空了。

目前，Ronin跨链桥以及平台的所有服务都被暂停了，验证器节点也做了分隔处理，一部分大型区块链交易所，比如Binance已经切断了与Ronin之间的桥接，Sky Marvis正在与主要交易所的安全团队保持联系，进一步减少安全风险扩散的可能。

Binance的CEO也通过推特发文表示，正在和《Axie infinity》团队联系，以帮助跟踪此问题。

除此之外，Sky Marvis也表示，为了防止进一步的短期损害以及未来可能发生的攻击行为，Ronin已经将验证节点的门槛从 5 个增加到 8 个。对于被盗取的资金，Ronin也正在与Chainalysis合作，监控这些以太坊的流动，同时在线下，官方也正与各个政府机构直接合作，以确保将罪犯绳之以法。

根据官方的说法，目前大部分被黑客盗取的资金仍在黑客钱包，并没有进一步转移。

对于Sky Marvis的此次经历，不只是反对区块链或NFT的网友幸灾乐祸，很多平台的用户也在官网博客或相关推文下的评论区中谴责了Sky Marvis，认为它们平时对平台安全就不够重视，事到如今也只能说是活该。

其中一周后才发现被盗、经大R用户反馈才得到重视等，更是成为了玩家抨击的重点，不少用户纷纷在官方的评论区反馈自己的账号、资金被盗的情况，并且表示“当一个小玩家被黑时，没有人愿意花一秒钟的时间去调查”。

“忙着开Party呢，安全算什么”，“被黑客攻击的情况很常见，但花了这么长时间才得到重视也说明了很多问题”。

除了苛责，对于参与到《Axie Infinity》等项目的玩家而言，Ronin暂停服务可能带来的损失或许更加让人对游戏以及Sky Marvis感到失望。在3月29日晚11点，官方发布公告的时候，1个AXS（Axie Infinity的代币）价值为70美元，但随后便暴跌至最低62.5美元。

但由于官方关闭了Ronin跨链桥服务，用户并不能自由地交易买卖自己账户中的任何代币，只能看着币价的涨跌波动，并且由于此次安全事件，不少玩家必然会丧失对Sky Marvis的信心，在Ronin恢复后，无论是AXS还是SLP，价格恐怕都难以维持。

区块链其实远比你想象的脆弱

虽然提及区块链就是各种去中心化、Web3.0、无法被破解，不可篡改等关键词，但由于整个区块链生态不可能离开涉及交易所、平台等技术没有那么高精尖的元素，其实区块链整体的安全性远比很多人想象的更加脆弱。

根据区块链被黑档案库，慢雾Slowmist官网的数据，自2012年1月起，在过去10余年内，区块链被黑客攻击，有报道或官方通告的案件高达676起，平均每个月都会有6起相关事件。在这600余起事件中，其中有金额记录的所有案件，合计损失更是高达259亿美元，约合人民币1643亿元。

仅今年3月，全球范围内大大小小就发生了28期有新闻报道或官方通告的黑客攻击事件，手法从传统的钓鱼信息到Sky Marvis这种利用平台漏洞的都有。

如果将范围放宽到2022年，类似于Sky Marvis这样的大型案件也并不止一例。就在3月23日当天，Solana上的稳定币项目 Cashio 遭遇黑客攻击，非法增发了20亿CASH代币，非法获利高达5200万美元。

2月12日，美国提供退休账户的平台IRA Financial Trust遭到攻击，损失高达3600万美元。

2月2日，黑客同样利用Wormhole网络中的签名验证漏洞，在Solana平台上铸造了12万Ether，价值高达3.26亿美元。

1月28日，去中心化借贷项目QBridge旗下的借贷产品Qubit 遭到黑客攻击，损失高达8000万美元。

事实上，上一起价值6亿美元的黑客攻击事件就发生在去年的8月，2021年8月10日晚，异构链跨链互操作协议Poly Network宣布，自己被黑客入侵，一名自称“白帽先生”的黑客在三十多分钟内，就转移了包括5.5万枚以太坊、2000枚比特币等在内，总价值超过6.1亿美元的资产。

后来还是该黑客选择主动与Poly Network展开对话，交流对策，并交回了所有盗取的资金，事情才算告一段落。

然而正所谓“人类从历史中学到的唯一教训，就是人类无法从历史中学到任何教训。”，即使是这样惨烈的前车之鉴，也并没有引起很多后来者对安全的重视，同样事件依然在重演，损失也不断在扩大。

并没有那么安全的虚拟世界

此次Sky Marvis的事件不由地让笔者想到了前段时间微软网络安全负责人的发言，在不久前的博客中，微软的安全负责人查理·贝尔（Charlie Bell）表示，“元宇宙或许会带来很多新的可能，但也必然会面对一些安全问题，行业亟需寻找对应的应对方案。”

被很多人与元宇宙经济系统联系起来的区块链，虽然其本身目前来看足够安全，但其交易流通将会涉及的各个环节、比如交易所、钱包、账户等方面的安全问题，却也不得不需要参与其中的平台、企业，甚至是未来的法律法规，提出额外的关注和安全保障措施。

且不说未来的虚拟世界，在Sky Marvis此次事件后，作为目前最靠近元宇宙雏形的概念之一，区块链游戏，都将受到巨大的冲击。

不同于普通网游在遇到Bug或被攻击后，可以通过服务器回档等手段从头再来，如果无法找回被黑客攻击、盗走的NFT或加密货币，游戏公司必须自掏腰包，弥补黑客造成的损失，要知道6亿美元，约合38亿元人民币，就已经是头部游戏公司的年度营收水平了。

举个例子，根据中手游2020年的财报，2020年公司营业收入38.20亿元，同比增长25.8%。

这也就意味着，游戏公司的一个小漏洞，黑客的一次攻击，就可能造成一个在游戏行业摸爬滚打数年的游戏公司，面临破产倒闭的风险。

如果此次事件“不得善终”，未来任何想要进入区块链游戏领域的公司，在开始前都要反复拷问自己，公司的安全系统是否牢不可破，公司内是否有内鬼对监守自盗毫不动心，公司是否有足够的积累，来面对最糟糕的情况。

而更可怕的是，玩家和用户会对区块链和P2E模式彻底丧失信心，这不仅将威胁到未来区块链游戏的发展，还将对现有的区块链游戏项目造成致命的打击。

要知道，P2E模式运行的一大基础就是不断吸引新玩家的进入，当玩家不再信任区块链游戏时，P2E模式自然就成为无源之水，枯竭只是早晚的事情，只不过是谁当最后一波倒霉蛋而已

就如贝尔在博客中所强调的，“如果平台不能未雨绸缪，那么元宇宙就必然会失败”，区块链游戏也是一样。