RON:Ronin安全事件分析-ODAILY

前言

Ronin是新加坡游戏工作室SkyMavis开发的,是为支持游戏AxieInfinity而构建的以太坊侧链,使得用户能够自由地将资产转移到其他链上。

北京时间2022年3月29日,RoninNetwork官方发布声明称RoninBridge遭到入侵,损失了173600枚ETH和价值2550万美元的USDC。

知道创宇区块链安全实验室第一时间跟踪本次事件。

波场TRON首个RWA产品stUSDT总质押量突破两亿美金:据官方消息,7月13日,官网数据显示,stUSDT总质押量已达到213,892,751USDT,正式突破两亿美金,APY高达4.22%。

据悉,stUSDT是波场TRON生态中首个RWA(真实世界资产)赛道产品,现已通过去中心化平台JustLend DAO运行。stUSDT平台致力于通过智能合约在个人与机构投资者、加密世界与现实世界之间架设桥梁,提供面向所有人的更公平的 RWA 投资渠道。[2023/7/13 10:52:30]

Elrond将在4小时内完成主网更新和Maiar重启:金色财经消息,Elrond公链CEO BeniaminMincu发推表示,将在4小时内完成主网更新和Maiar重启。此前,黑客利用Elrond生态DEXMaiar的漏洞盗取约165万枚EGLD并在链上抛售,链上EGLD价格被砸到低于5美元,跌幅达92%。但Elrond官方及时关闭Majar并冻结黑客地址,追回95%的赃款。据悉,黑客造成的损失由Elrond基金会承担,DEX重启的解决方案是确保链上EGLD价格与币安EGLD价格匹配才会对外开放交易。[2022/6/8 4:09:50]

基础信息

TRON上首个通证交换协议JustSwap将于今晚22:00点正式上线:据官方消息,JustSwap将于2020年8月18日北京时间22:00点正式上线。首发上线JustSwap的钱包有:Tronlink、Huobi wallet、TOKEN POCKET、imToken、Math Wallet 以及 Bitkeep。届时用户可以通过上述钱包登录JustSwap。据悉,JustSwap是TRON上的第一个通证交换协议,用户可以在任意TRC20 Token 间相互兑换。系统定价,交易方便,而且协议不会抽取手续费,所有的手续费都提供给协议的流动性提供者。[2020/8/18]

攻击者地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96

tx1:0xc28fad5e8d5e0ce6a2eaf67b6687be5d58113e16be590824d6cfa1a94467d0b7

tx2:0xed2c72ef1a552ddaec6dd1f5cddf0b59a8f37f82bdda5257d9c7c37db7bb9b08

事件概述

据目前官方发出的声明称,攻击者使用被黑客入侵的私钥来伪造虚假的提款。直到29日早上,一名用户无法从桥上提取5kETH而向Ronin官方报告之后,才发现了这次攻击。目前Ronin桥和KatanaDex已经停止,官方也将验证器阈值从5个提高到了8个。

Ronin链目前由9个验证器节点组成。为了识别存款事件或提款事件,需要九个验证者签名中的五个。攻击者设法控制了SkyMavis的四个Ronin验证器和由AxieDAO运行的第三方验证器。验证器密钥方案是分散设置的,以此来限制类似于此次的攻击,但攻击者发现了Ronin的无GasRPC节点的后门,从而获取了AxieDAO验证器的签名。

此次事件由来可以追溯到2021年11月,当时AxieDAO验证器被允许分发免费交易。这已于2021年12月停止,但AxieDAO验证器IP仍在允许列表中。一旦攻击者访问了SkyMavis系统,便能够通过无GasRPC从AxieDAO验证器获得签名。

目前Ronin官方已经确认恶意提款中的签名与五个可疑的验证者相匹配。

总结

本次攻击事件核心是私钥泄露而导致的,虽然官方宣称私钥泄露是因为社会工程,但官方在攻击发生一周后才公开此次事件,理由难免有些牵强,很难不使人猜想项目人员监守自盗的可能。

在此提醒项目方发布项目后一定要将私钥严密保管,谨防网络钓鱼,另外,近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-0:961ms