Ronin Network被黑 一图详解6.1亿美元“何去何从”

在加密世界中,私钥管理和保持私钥安全性,一直是个重要的话题。

近日,当下最流行的NFT游戏Axie Infinity侧链Ronin Network受到黑客攻击,造成价值约6.1亿美金的加密货币被盗。其中攻击者窃取了17.36万枚ETH以及2550万枚USDC。

值得一提的是,该攻击于3月23日就已发生,但是5天后才因用户报告无法提取5000 ETH而发现该攻击。

Axie Infinity是一款类似口袋妖怪的游戏,玩家可以在游戏中赚取加密货币;Ronin Network则是为了实现高Transactions Per Second (TPS)并且让用户有更流畅游戏体验而开发的侧链;Ronin Bridge 协助将加密货币转入和转出 Ronin Network;它们同属Sky Mavis运营。

数据:以太坊桥TVL达到221.5亿美元:金色财经报道,Dune Analytics数据显示,以太坊桥当前TVL达到221.5亿美元。其中锁仓量最高的5个桥分别是Ronin Bridge(59.34亿美元)、Avalanche Bridge(52.59亿美元)、Polygon Bridges(52.29亿美元)、Arbitrum Bridges(26.91亿美元)、FantomAnyswap Bridge(23.03亿美元)。[2021/11/1 21:15:55]

为了识别存款及取款事件,Ronin需要验证九个验证节点中的五个签名。而攻击者黑了4个Sky Mavis的私钥,制造了5个合法的签名,即:4 个 Sky Mavis 验证器和 1 个 Axie DAO运行的第三方验证器产生的签名。

Sky Mavis的私钥被入侵后,攻击者利用签名来制造“提款证明”。而在该漏洞发生后,Sky Mavis已决定将所需验证节点签名增加至8个。

节点验证虽已去中心化,但黑客却发现了gas-free RPC的一个后门。

早在2021年11月的一次Axie DAO活动中,Axie DAO赋予了Sky Mavis代表其签署交易的权限。但该权限后续并未被撤销。

即:攻击者一旦获得了Sky Mavis的访问权限,即可通过gas-free RPC获得Axie DAO的签名。

在此, CertiK利用CertiK Skytrace总结了一份资金流动去向图:

此次事件是由于私钥管理不善而造成的。

CertiK在此提醒用户和项目方管理私钥的重要性。

Sky Mavis在项目中应用了多签来避免单点故障,这是安全方面的一大进步。多签指的是需要多个密钥来授权交易,而不是一个密钥的单一签名。

然而早期活动期间发放的权限未被撤销,从而令黑客有机可乘。因此切记在事件或功能完成后撤销允许列表以及白名单访问是非常重要的。

参考链接:

https://roninblockchain.substack.com/p/community-alert-ronin-validators?s=w?

https://rekt.news/ronin-rekt/

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

链链资讯

USDT北京上海深圳都在建设:独家专访解密“数据交易所”

在2月28日的国新办发布会上,工信部总工程师、新闻发言人田玉龙透露,要积极培育数据要素市场,支持北京、上海建设数据交易所。 京沪两地的数据交易所已经在2021年相继成立。数交所的设立,意味着被称为新兴经济“新动力”的数据可以像普通商品一样进行分类定价和交易。 今年全国两会,“数据”也成了高频词汇之一。

Uniswap我在元宇宙中邂逅了爱情

本文由”老雅痞laoyapicom“授权转载 信息来源自VICE,略有修改,作者 Ross Buchanan 用一个Oculus VR头盔和几句风趣的搭讪台词,我能否成为爱情专家? 作者戴着META头盔,和他在VRCHAT中的ALTSPACEVR化身的合成图像。 很难想象有什么概念能像网络约会那样从禁忌迅速发展到几乎无处不在。

[0:15ms0-3:572ms