全球最火NFT游戲一夜之間遭劫:玩家6.25億美元打了水漂
加入技術交流群
在大肆鼓吹Web 3繁榮之前,需要首先解決的是去中心化系統的安全問題。
——
文|Juny 編輯|VickyXiao
最近Web 3領域發生了一件震驚全行業的大事件。 3月29日,目前世界規模最大、最受追捧的區塊鏈游戲Axie Infinity被曝遭到了黑客入侵,造成了17.36萬枚以太坊和2550萬個的穩定幣USDC被盜。此次的黑客攻擊事件,直接導致的損失將高達約6.25億美元,創下了去中心化金融(DeFi)系統有史以來的最大攻擊記錄。 值得注意的是,這并不是DeFi系統第一次遭受攻擊,過去一年來DeFi上的攻擊盜竊案頻發。就在兩個月前,另一個區塊鏈橋Wormhole 才剛被攻擊損失了超過 3 億美元。上個月,Axie Infinity剛打破了40億美元的NFT銷售記錄,奪得了世界最大NFT游戲的寶座,業界猜測也正因如此才讓它成為了黑客的重點攻擊對象。 此次巨額的攻擊事件,導致了Axie Infinity相關數字資產價格斷崖下跌,其中Ron代幣單日下跌了22%、AXS下跌了約9%,同時也再次把去中心化金融系統的安全問題擺上了臺面。很多人表示,如果用戶的基本資產安全都不能得到保障,什么NFT、鏈游就都只是一場空談。
圖片來自Reddit,版權屬于原作者
對于不太關注Web 3或者區塊鏈游戲的朋友來說,可能看到這里還是會感覺一頭霧水。Axie Infinity到底是一款什么樣的游戲,為什么一款游戲被攻擊能造成如此巨額的損失,黑客又是如何攻擊去中心化金融系統的呢? |區塊鏈版“寵物小精靈”, 一款可以幫你賺錢的游戲 相信每一個游戲愛好者都有一個愿望,世界上能不能有一款游戲,在很好玩的同時又能夠幫自己掙錢。以前,這種事情可能只會發生在萬一挑一的職業電競選手身上,但Axie Infinity則為普通人開辟了一條全新的道路。 Axie Infinity于2018年誕生,由越南工作室Sky Mavis創立。當時Axie團隊想,市面上的游戲都是需要玩家花大量時間甚至金錢去玩,游戲的主要功能是娛樂,那可不可以創造出一款游戲,能把玩家付出的精力和時間轉化成現實的經濟效益。于是他們基于以太坊,開發了一款融合了《寵物小精靈》、《最終幻想》和《放置奇兵》等經典玩法的游戲Axie Infinity,并開創了一種全新的游戲模式——Play to Earn。
簡單來說,Axie Infinity就是一個數字寵物世界,游戲的主角是類似于寵物小精靈的各種Axie,玩家既可以通過收集、訓練自己的Axie們來與其他玩家的Axie們戰斗,也可以將其作為寵物撫養和交易。在支付起始費用后,玩家可以通過玩游戲賺取基于以太坊的游戲內代幣,Axie Infinity則允許他們每十四天兌現他們的代幣。 這款游戲在2018年剛推出時并沒有得到很多關注,一直到2019年底新冠疫情爆發,Axie Infinity開始在以菲律賓為代表的東南亞地區迅速走紅。突然爆紅的原因也很簡單,當時很多人因為突然的居家隔離而失業,而他們發現這款游戲真的可以幫他們賺錢。 由于東南亞地區的收入水平并不發達,這些東南亞玩家通過日夜玩Axie Infinity,發現月收入居然可以達到400美元,甚至超過了當地的平均工資。家里蹲著也是蹲著,所以,大到年過7旬的老人、小到幾歲的兒童就都開始玩Axie。有意思的是,這些玩家基本上都不懂什么是區塊鏈、什么是加密貨幣,他們只知道在游戲里的這些資產最后能夠換成真錢。 但是,要玩Axie也是有門檻的,玩家必須得先花錢在Axie市場上購買至少3只Axie才能開始游戲。2019年初,3只Axie玩家只需要花費幾美元就能買到,但到了2020年2月,3只Axie的價格已經漲到了約400美元。
為了解決高昂的入門費用、鼓勵更多玩家參與,Axie Infinity團隊設計出了一項“獎學金計劃”, 通過租號的形式,將賬號免費借給玩家,并通過社區培訓人們如何通過Axie Infinity賺錢,最后把取得的收益和玩家37分成(玩家占7成)。很快,在“獎學金計劃”之下,Axie Infinity的社區迅速壯大,這些社區也成為了Axie Infinty走向全球的重要推動力。
關于Axie Infinity在菲律賓大火的報道,圖片來源于網絡 2020年6月,Sky Mavis帶著這種全新“Play to earn”模式和在東南亞地區的成績單入駐了育碧的游戲孵化器,并在11月獲得了美國加密貨幣投資公司Delphi Digital的86萬美元的首筆融資。而在Delphi Digital的幫助下,Axie Infinity進一步理順了游戲的經濟系統和生態體系。 |復雜而精巧的游戲設計,打造完備的經濟生態 Axie Infinity中的資產一共有兩大類,一是以Axie小精靈和Lunacia土地為代表的NFT,二是以SLP和AXS為代表的游戲內代幣。 其中,游戲中玩家最核心的資產是NFT形式的Axie小精靈們。跟寵物小精靈的設定類似,這些Axies被劃分成了不同的屬性,目前包含爬行系、植物系、暗夜系、水系、飛行系、光系、機械系、昆蟲系和野獸系這九大種類。 根據屬性的不同,這些Axie的身體構成與技能卡牌也不同,這些技能不僅能讓不同的Axie在對戰中發揮出不同攻擊力,也給Axie帶來了非同質性和稀缺性,直接導致了Axie們市場價格的不同。根據Axie infinity官網數據顯示,價格最高的Axie,售價已經高達300個以太坊,約800萬人民幣。 
Axie的種類,圖片來自Delphi Digital 此外,小精靈們生活的土地也被NFT化了。被稱為Lunacia 的大陸被劃分成了301x301 的網格,每個方塊代表一塊土地,玩家可以購買、出租和開發。大陸目前分為5個等級,分別是:薩凡納、森林、北極、神秘和創世紀,由邊緣到中心分布,地塊供應由多到少價格也越來越高。擁有土地之后,玩家可以用來養育小精靈并進行自主設計和開發,具有極強的開放性特征。 去年11月,一塊創世紀土地以550個以太坊(約250萬美元)的價格售出,刷新了Axie Infinity的土地銷售記錄。 在代幣方面,整個游戲中主要有兩種的代幣類型——SLP和AXS。SLP(Smooth Love Potion)屬于獎勵型代幣,玩家在用Axie進行PVE(機器對戰)或者PVP(真人對戰)時,都可以獲得一定的SLP獎勵,每日獲得的SLP上限是75枚。AXS則是專門用來繁殖和培育Axie的代幣,只能通過每月排位的獎勵和購買土地后產出,只有排名最高的一部分玩家可以獲得AXS代幣獎勵。 玩家既可以在游戲內用這些代幣來收集和培養更多以及更強的Axie,同時也可以選擇將手上的這兩種代幣在市場上售出來換取真錢,它們價格也會根據市場實時變化。過去一年,AXS的漲幅高達1035%。 
AXS的價格****,圖片來自Coingecko 總體來看,目前在Axie infinity上賺錢的方式主要有以下幾種:一是通過Axie參加戰斗,贏得排行榜上的獎項;二是自己培育Axies并在市場上出售;三是收集和投資稀有的Axie和土地;四是通過在市場上轉賣SLP和AXS獲取收益。 Axie Infinity的創始團隊曾表示,他們希望通這樣一種有趣的方式向世界介紹區塊鏈技術。他們的最終設想是把Axie Infinity變成一個集社交網絡、交易市場、對戰空間、寵物繁育等多種功能于一體的開放世界游戲,他們會把逐步內容生產的權利交給玩家,讓他們從用戶變成真正的所有者,不僅可以控制游戲中的道具,還可以決定游戲的未來。Axie的“卡牌”對戰模式 “當玩家參與到游戲經濟、創造游戲內容之中,并為其他玩家和開發者創造更多價值時,Axie Infinity才會成為理想意義上去中心化的Web3.0游戲。”Sky Mavis的聯合創始人Jeff Zirlin表示。 在這樣一套兼具娛樂性和盈利性的模式之上,Axie Infinity也在過去一年迅速破圈,主要玩家從東南亞迅速遍及全球各地,走上了一路開掛的發展之路。2021年4月,Axie Infinity的日活用戶才僅有3.8萬人,到了2021年底,月活用戶已經接近300萬。2021年8月,Axie Infinity的單月收入達到了3.34億美元,遠超同期《王者榮耀》2.31億美元的收入規模。 今年2月底,Axie Infinity的NFT歷史銷售額突破了40億美元,也成為了全球首款銷售額破40億的NFT游戲。 |高達6.25億美元的攻擊是怎么發生的? 在充分了解Axie Infinity是什么之后,我們再回到文章開頭的這場攻擊。 就像前文所說,Axie Infinity是一款基于區塊鏈的游戲,所以,無論時Axie這些NFT還是SLP和AXS這些資產,其實都是存在于鏈上的。而此次遭受攻擊的地方,就是在用以架接Axie游戲資產和以太坊的Ronin跨鏈橋上。 Ronin 是Sky Mavis一條專為 Axie Infinity 生態設計的一條以太坊側鏈,它允許用戶在以太坊和 Axie之間來回發送加密貨幣,旨在解決以太坊網絡交易費高和擴大NFT交易容量的作用,并配套推出了Ronin加密錢包。Ronin目前是 Axie Infinity 游戲的最重要基礎設施,Axie Infinity游戲內所有的可交易資產包括Axie 小精靈、土地、SLP、AXS 等都在上面流轉。
圖片截自于《Axie Infinity白皮書》為了達成更高效交易的目的,Ronin采用的是PoA (Proof of Authority) 的共識機制,并用了更少的驗證節點(目前是 9 個)來獲得更快的轉賬速度。按照Ronin的設計,如果需要存款或取款,需要驗證九個節點中的五個。 根據Sky Mavis昨天發布的公告顯示,此次的攻擊者通過了Ronin的無Gas RPC 節點發現了一個后門,并通過這個后門設法控制了 Sky Mavis 的四個 Ronin 驗證器和一個由 Axie DAO 運行的第三方驗證器,從而完成了大量資產的提取。而實際上,這個攻擊早在3月23日就發生了,但一直到3月29日有用戶表示無法提取5000 枚以太坊時才發現了資產已經被盜空。
目前,Sky Mavis 已經將 Ronin 的驗證器門檻從 5 個提高到了 8 個,并進一步分散和增加了驗證器總數。此次被盜的資產一部分是玩家的資產,另一部分是Axie Infinity的官方儲備資產。對于用戶的損失,Sky Mavis今日表示雖然被盜資產很難追回,但Axie將盡力補償用戶,可能的方式包括以折扣價向這些用戶出售代幣或者從擁有16億美元資產的Axie社區“金庫”中提取資金來償還。
實際上,最近一兩年來,去中心化金融網絡上的盜竊案頻發。截至目前,Defi上的各種攻擊加起來的損失總額已經高達幾十億美元,大部分被盜的原因都是因為智能合約漏洞或者私鑰被黑。而因為數字資產一旦被盜取、轉贈、交易后就很難追回,往往讓遭受損失的用戶求告無門。
圖片來自Bloomberg,版權屬于原作者由于目前大部分區塊鏈游戲玩家們都不是加密領域的專家,只是沖著玩游戲和賺錢來的,他們的安全意識不強、安全驗證設置也并不完備。此前就有很多Axie Infinity的玩家的SLP、AXS被別人轉走、Axie小精靈未經允許就被贈送的情況發生,而他們的游戲資產被轉走后立刻就被放在了市場上進行交易。 “非區塊鏈游戲雖然不能幫人賺錢,但目前在安全性上是遠高于去中心化的游戲的,即使游戲號被盜、資產被黑,也可以通過游戲公司的客服、技術支持來幫忙找回。區塊鏈游戲未來想要走向大眾,可能首先要解決的就是安全問題和信任問題。”一位游戲發燒友告訴硅星人。
注:封面圖來自于Axie Infinity,版權屬于原作者。如果不同意使用,請盡快聯系我們,我們會立即刪除。
*博客內容為網友個人發布,僅代表博主個人觀點,如有侵權請聯系工作人員刪除。
