Treffen Sie uns: Krypto-Investoren-Tag am 11.10.2022 in Frankfurt a. M. & 24.10.2022 in München // Crypto Investment Conference am 26.10.2022 in Hamburg.

Axie Infinity 600 Mio. USD Exploit

Axie Infinity 600 Millionen USD Exploit

Axie Infinity wurde Opfer des größten Exploits in der Geschichte der Kryptowährungen. Wie hat der F5 Crypto Fonds darauf reagiert?

Axie Infinity – was steckt dahinter?

Axie Infinity ist bis jetzt das erfolgreichste Play-to-Earn Online-Computerspiel der Welt. Design und Spielmechanik erinnern stark an die Pokémon-Spiele aus den 2000ern, allerdings können Spieler bei Axie Infinity im Zuge ihrer Spielaktivitäten Geld verdienen. Dies ist möglich, weil die Blockchain in die Spielarchitektur integriert ist. Wie bei Pokémon besitzen Spieler kleine Monster, die hier Axies heißen. In der offenen Spielwelt können die Axies gegen andere Spieler oder gegen Computergegner ins Duell geschickt werden. Die Innovation bei Axie Infinity besteht darin, dass es sich bei den Monstern um verkäufliche Wertgegenstände handelt. Jedes Axie stellt einen Non-Fungible Token (NFT) dar und kann deshalb einem Spielaccount eindeutig zugeordnet und auf NFT-Marktplätzen der zugrundeliegenden Blockchain gehandelt werden. Dies ist bei Axie Infinity die Ronin-Blockchain, eine sogenannte Ethereum-Sidechain. Ronin übernimmt fast alle Eigenschaften von Ethereum, ermöglicht aber aufgrund der niedrigen Anzahl an zehn Validatoren sehr günstige Transaktionsgebühren.

Axie Infinity Spielwelt
Axies in Aktion; Quelle: Axie Infinity Press Kit

Geldfluss bei Axies

Will man bei Axie Infinity in Zweikämpfen spielen, muss man zuerst in den Besitz von mindestens drei Axies kommen. Diese Axies stehen auf einem NFT-Marktplatz gegen die Kryptowährung Ether (ETH) zum Verkauf. Theoretisch kommen dafür alle Ethereum-basierten NFT-Marktplätze infrage, doch praktisch findet der meiste Handel auf dem hauseigenen Marktplatz von Axie Infitiy statt, der ebenfalls auf der Ronin-Blockchain läuft.

ETH von Ethereum (genauer: dem Ethereum Mainnet) werden durch den sogenannten „Bridging“-Prozess auf die Ronin-Blockchain übertragen. Dabei transferiert man ETH auf dem Ethereum Mainnet an einen Smart Contract (die „Bridge“) und gibt eine Empfängeradresse auf der Ronin-Blockchain an. Daraufhin wird der identische Betrag an die Empfängeradresse im Ronin-Netzwerk ausgestellt. Die Bridge sperrt die überwiesenen ETH auf dem Mainnet, sodass der Wert des ETH auf der Ronin-Blockchain voll besichert bleibt. Der „Bridging“-Prozess funktioniert natürlich auch in die Gegenrichtung: Wer im Ronin-Netzwerk ETH an die Bridge überweist, erhält am Ethereum Mainnet den entsprechenden ETH-Betrag  ausgestellt. Am 28.03.2022 wollte ein Axie-Infinity-Spieler genau diesen Prozess ausführen, um 5.000 ETH von Ronin auf das Ethereum Mainnet zu bridgen. Doch auf dem Mainnet kam nichts an.

Axie Infinity Spielwelt
Offene Spielwelt bei Axie Infinity; Quelle: Axie Infinity Press Kit

Der Exploit

Da schrillten die ersten Alarmglocken und es stellte sich heraus, dass die Bridge sich nicht mehr im Besitz aller ihr übertragenen ETH befand. Bereits am 23.03.2022 wurden 173.600 ETH und 25.500.000 USDC von der Bridge an eine unbekannte Ethereum-Adresse überwiesen. Dabei hat der Angreifer das erbeutete USDC direkt in ETH umgewandelt. Von dieser Adresse wurden tausende Einheiten ETH an Kryptobörsen wie FTX oder Binance geschickt. Dem Axie-Infinity-Ökosystem wurden also Kryptowährungen im Wert von rund 600 Millionen USD entwendet. Es ist der vermutlich bis jetzt größte Raub der Geschichte der Kryptowährungen. Als unmittelbare Konsequenz wurden nicht nur polizeiliche Ermittlung eingeleitet, sondern die Ronin-Ethereum-Bridge wurde bis auf Weiteres außer Betrieb genommen und die betreffenden Kryptobörsen haben an sie überwiesene ETH eingefroren.

Screenshot des Ethereum Account Guthaben des Angreifers vom Axies Inifinity Exploit
Entwendete Kryptowerte im Ethereum-Account des Angreifers; Quelle: Etherscan

Da wir bei F5 Crypto in AXS, eine Kryptowährung des Axie-Infinity-Ökosystems, investiert waren, stellte sich unmitelbar die Frage: halten oder verkaufen? Entscheidend dabei sind folgende Punkte:

  • Bei den entwendeten ETH handelt es sich nicht um Firmenkapital, sondern das Geld der Axie-Infinity-Spieler.
  • Solange die Ronin-Ethereum-Bridge außer Betrieb bleibt, wird der Geldfluss im Axis-Infinity-Ökosystem enorm eingeschränkt und ein Zufluss neuer Spieler, d.h. neuen Kapitals, kann praktisch nicht stattfinden.
  • Bei den Kryptobörsen ist nur ein kleiner Teil des entwendeten Kapitals angekommen und über 98% der ETH befinden sich immer noch auf besagter Ethereum-Adresse des Angreifers. Dementsprechend ist es nahezu unmöglich, diese Kryptowerte ohne die Kooperation des Angreifers zurückzubekommen.
  • Die Axie Infinity „Community Treasury“ ist der größte öffentlich bekannte Kapitalpool, der dem Axie-Infinity-Ökosystem zur Verfügung steht. Zurzeit befinden sich in Axies Schatzkammer Kryptowährungen im Wert von 1,6 Milliarden USD, wobei 1,4 Milliarden USD in AXS-Token gehalten werden.

Die Folgen

Aus den oberen Punkten folgt, dass das entwendete Kapital wiederhergestellt oder ersetzt werden muss, um dem Axie-Infinity-Spiel eine Aussicht auf Erfolg zu wahren. Sollte dies nicht gelingen, wird der finanzielle Schaden für die Spieler schlagend – was zu einem extremen Vertrauensverlust führen wird, umso mehr, als bei einem Play-to-Earn-Spiel der finanzielle Ertrag für Spieler von besonderer Bedeutung ist. Genauso folgt, dass die Ronin-Ethereum-Bridge so schnell wie möglich wieder in Betrieb genommen werden muss. Einerseits wird die Bridge für die Aufrechterhaltung der Spiel-Ökonomie benötigt und andererseits können die Entwickler neuere Versionen des Spiels nicht veröffentlichen, solange eine Schlüsselkomponente der Architektur nicht funktioniert.

Ein weiterer wesentlicher Aspekt ergibt sich aus der Marktpositionierung: Axie Infinity ist keine essenzielle Krypto-Infrastruktur. Im Gegenteil, mit der de-facto hauseigenen Ronin-Blockchain hat sich Axie Infinity sogar von der restlichen Krypto-Welt abgetrennt. Wenn das Projekt also in sich zusammenbräche, würden die Kaskadeneffekte im restlichen Krypto-Markt wohl recht milde ausfallen. Im Umkehrschluss bedeutet dies, in den Krypto-Markt investiertes Großkapital verfügt über keinen Anreiz, Axie Infinity zu retten, um den Gesamtmarkt zu stabilisieren. Axie Infinity weist zwar ca. 3,5 Milliarden EUR Marktkapitalisierung auf, ist aber mangels Systemrelevanz eben nicht „too big to fail“.

Downtrend

Dazu kommt, dass Sky Mavis, das Unternehmen hinter Axie Infinity, keine bekannten Investoren hat, welche in der Lage wären, die fehlenden 600 Millionen USD zu ersetzen, und nur schwerlich nun solche finden wird. Auf Basis dieser öffentlich verfügbaren Informationen scheint also Axie Infinity selbst die einzige Instanz zu sein, die das gestohlene Kapital zeitnah ersetzen kann. Das wäre grundsätzlich möglich. Die „Community Treasury“ verfügt über AXS-Token, die derzeit 1,4 Milliarden USD wert sind. Dennoch bedeutet dieser Weg der Selbstrettung eine düstere kurz- und mittelfristige Prognose für den AXS-Token-Preis: diese läuft darauf hinaus, dass AXS-Token im Wert von knapp 600 Millionen USD innerhalb kürzester Zeit veräußert werden müssen. Der öffentliche Vertrauensverlust in das Axie-Infinity-Projekt zusammen mit diesem zusätzlichen Verkaufsdruck müssten den AXS-Preis zumindest kurzfristig signifikant nach unten treiben.

Wie F5 Crypto Fonds reagiert

Fazit: Axie Infinity muss das entwendete Kapital zügig ersetzen, um die Ronin-Ethereum-Bridge wieder in Betrieb nehmen zu können und die volle Funktionalität der für das Spiel nötigen Infrastruktur wiederherzustellen. Auf Basis der öffentlich verfügbaren Informationen erscheint eine Rückgabe der entwendeten ETH genauso unwahrscheinlich wie ein Bailout durch eine externe Entität. Daher muss das Team hinter Axie Infinity handeln. Ein Ausweg wäre, selbst das benötigte Kapital aufzubringen, was durch den Verkauf von AXS-Token aus der eigenen Community-Reserve möglich wäre — jedoch nicht ohne erheblichen Zeit- und Verkaufsdruck. Andere denkbare Lösungen wären den Angreifer zu überzeugen, die entwendeten ETH zurückzuüberweisen (allenfalls gegen Lösegeld) oder beispielsweise – wie von Bitfinex nach deren Hack erfolgreich durchgeführt – die Verluste der Spieler durch einen Haircut zwar festzuschreiben, sie jedoch mit einem neu kreierten Token zu „entschädigen“, welcher einen Anspruch auf künftige Erlöse zur langfristigen Deckung der Verluste gewährt.

Aus diesen Gründen ist das Team von F5 Crypto zur Einschätzung gelangt, dass das Renditepotenzial beim aktuellen Marktpreis das enorm gestiegene und stark asymmetrische Risikoprofil mit erheblichem Downside-Risiko einer AXS-Position nicht aufwiegt. Folglich wurde das AXS-Investment liquidiert.


Kontakt: grigori [at] f5crypto com

Grigori Akimov ist Krypto-Analyst bei der F5 Crypto Capital GmbH. Die verfassten Ansichten und Meinungen Grigoris sind ausschließlich seine eigenen und geben nicht zwangsläufig jene der F5 Crypto Capital GmbH wieder. Dieser Text ist rein informativ und sollte in keinster Weise Ihre Anlageentscheidungen beeinflussen.

Der Autor hält möglicherweise Long oder Short Positionen in den diskutierten Werten.

Mehr über unser Team.

Geschrieben von

Grigori ist schon seit vielen Jahren ein engagierter Krypto-Enthusiast und arbeitet als Analyst bei F5 Crypto Capital. Er besitzt einen Universitätsabschluss in Information Systems (M.Sc.) mit einem Schwerpunkt in Data Science.

Kommentare
  1. Sehr guter Artikel. Hervorheben sollte man aber auch das die Ronin Bridge sehr schwach konzipiert war. Der Hack war kein Hack auf das Blockchain-Protocol „RoninBridge“ sondern ein Angriff auf die schwache Infrastruktur der Bridge. Hier wurden lediglich die Mehrzahl der Nodes unter Kontrolle gebracht (4 von 9 wurden von Sky Mavis betreut) und die Transaktion konnte einfach bestätigt werden.
    Aufbauend auf dieser schwachen Infrastruktur und der von euch oben beschrieben Spielökonomie auf der Ronin-Blockchain kann ich eure Einschätzung mehr als nur unterschreiben.

    1. Vielen Dank für die Rückmeldung! Sie haben natürlich Recht. Ein Milliardenunternehmen sollte sich auf solche Szenarien vorbereiten – es ist schließlich nicht der erste Social-Engineering Exploit in Krypto.

Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.