Hi 游客

更多精彩,请登录!

比特池塘 GameFI 正文
今日凌晨,著名链游AxieInfinity的跨链桥Ronin官方发布声明说,跨链桥核心私钥被盗,导致桥上17万枚ETH和2550万枚USDC,被“啪”地一下转走了。总市值将近7亿美金的资产现在在黑客手里,大部分是去年年底Ronin发布挖矿展望计划后跨过去挖RON的,惊不惊喜,意不意外?

    颇为讽刺的是,到现在他们的矿池还没上线,大家盲挖半年了;更为讽刺的是,两笔盗取转账发生在六天前,团队竟然没有一丁点知觉。昨天有个用户要把5000个ETH跨回主网发现死活转不过来,和客服联系,客服才发现了这个问题....曾记得17年爱希鸥盛行的时候有过一个段子:团队在做事,等归零。后来异化为:团队在做(哔——),等归零。

    看现在这个样子,团队可能真的去做(哔——)了,让黑客整整逍遥了一周。

    01官方声明及解读关键点

    Ronin桥已被用于173,600以太坊和25.5MUSDC。Ronin桥和KatanaDex已经停止。

    我们正在与执法人员、法医密码学家和我们的投资者合作,以确保所有资金都得到追回或报销。Ronin上的所有AXS、RON和SLP目前都是安全的。

    RoninNetwork出现安全漏洞。今天早些时候,我们发现在3月23日,SkyMavis的Ronin验证器节点和AxieDAO验证器节点遭到破坏,导致在两笔交易中从Ronin桥接了173,600个以太坊和2550万美元的USDC。攻击者使用被黑的私钥来伪造假提款。我们今天早上在报告用户无法从网桥中提取5kETH后发现了这次攻击。

    /**DeFi有道分析:Ronin的跨链桥应该是非常中心化的跨链桥。有若干个地址管理着跨链桥位于以太坊主网上的一端,当它们同时签名的时候,这个“端合约”里锁定的币就可以被取出**/

    有关攻击的详细信息

    SkyMavis的Ronin链目前由9个验证节点组成。为了识别存款事件或取款事件,需要九个验证者签名中的五个。攻击者设法控制了SkyMavis的四个Ronin验证器和一个由AxieDAO运行的第三方验证器。

    /**DeFi有道分析:SkyMavis是Axie的母公司,也是ronin及运行在其上的katana交易所的所有者。9个验证器,它持有了4个,应该是本次一次性把私钥丢失的。**/

    验证器密钥方案被设置为去中心化的,因此它限制了与此类似的攻击向量,但攻击者通过我们的0gasRPC节点发现了一个后门,他们滥用该后门来获取AxieDAO验证器的签名。

    这可以追溯到2021年11月,当时SkyMavis请求AxieDAO帮助分发免费交易,因为用户负载巨大。AxieDAO允许SkyMavis代表其签署各种交易。这已于2021年12月停止,但未撤销许可名单访问权限。

    一旦攻击者获得了SkyMavis系统的访问权限,他们就能够通过使用0gasRPC从AxieDAO验证器获取签名。

   
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

成为第一个吐槽的人

Atanvardo 小学生
  • 粉丝

    0

  • 关注

    0

  • 主题

    2