当前位置:首页 > 知识 >

创宇区块链实验室解析Ronin安全事件

引言:

Ronin是马来西亚网游工作室SkyMavis开发设计的以太币主链,专为适用手机游戏AxieInfinity而搭建。它可以促进客户在不同的链上随意转移财产。

事件基础信息:

2022年3月29日,中国北京时间,RoninNetwork官方发布声明称RoninBridge遭受侵入,造成173600枚ETH(价值约5.9亿美元)和2550万美元的USDC使用价值的损失。

知道创宇区块链技术室第一时间跟踪此次事件,攻击者详细地址为0x098B716B8Aaf21512996dC57EB0615e2383E2f96,交易记录为tx1:0xc28fad5e8d5e0ce6a2eaf67b6687be5d58113e16be590824d6cfa1a94467d0b7和tx2:0xed2c72ef1a552ddaec6dd1f5cddf0b59a8f37f82bdda5257d9c7c37db7bb9b08。

事件简述:

根据官方传出的证据,攻击者通过伪造虚假提款来利用黑客攻击的私钥。直到一位客户于29日早晨因未能从大桥上取出5kETH而向Ronin官方报告,才发现这次攻击。现在,Ronin桥和KatanaDex已终止,官方验证者阈值已从5个提高到8个。

现在,Ronin链由9个验证器连接点构成。为了更好地区分存款事件和提款事件,必须由九个验证者中的五个签名。攻击者利用了SkyMavis的四个Ronin验证器和AxieDAO运营的第三方验证器。验证器密钥计划方案是分散化的,以限制类似本次攻击,但攻击者发现了Ronin的无GasRPC连接点的侧门,从而获得了AxieDAO验证器的签名。

这次事件的起源可追溯到2021年11月份,当时AxieDAO验证器被允许免费交易。尽管这已于2021年12月停止,但AxieDAO验证器IP仍在允许目录中。一旦攻击者浏览了SkyMavis的系统软件,就可以根据无GasRPC从AxieDAO验证器获得签名。

现在,Ronin官方已确认提款事件中的签名与五个异常验证者的签名相符。

汇总:

这次攻击事件的关键在于私钥泄露。尽管官方声称私钥泄露是由社交工程造成的,但官方在受害产生之后一周才公布此次事件,这种做法可能让人怀疑新项目的工作人员可能会偷盗资产。

因此,在此提醒新项目方在公布项目工程后一定要妥善保管私钥,防范钓鱼攻击。此外,最近各种合同系统漏洞安全事件激增,对合同财务审计、风险控制对策、应急计划等方面必须严格落实。

猜你喜欢

微信二维码

微信