首页 > 区块链 > 知道创宇区块链安全实验室|Ronin 安全事件分析
终极说法  

知道创宇区块链安全实验室|Ronin 安全事件分析

摘要:区块链的安全性分析前言Ronin 是新加坡游戏工作室 Sky Mavis 开发的,是为支持游戏 Axie Infinity 而构建的以太坊侧链,使得用户能够自由地将资产转移到其他链上。北京时间2022年3月29日,Ronin Network官方发布声明称 Ronin Bridge 遭到入侵,损失了1
引言

Ronin 是马来西亚网游工作室 Sky Mavis 开发设计的,是为适用手机游戏 Axie Infinity 而搭建的以太币主链,促使客户可以随意地将财产转移到别的链上。

中国北京时间2022年3月29日,Ronin Network官方公布申明称 Ronin Bridge 遭受侵入,损害了173600 枚ETH(使用价值约5.9亿美金)和使用价值2550万美金的USDC。

知道创宇区块链技术室验室 第一时间追踪此次事件。

知道创宇区块链安全实验室|Ronin 安全事件分析

基础信息

攻击者详细地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96

tx1:0xc28fad5e8d5e0ce6a2eaf67b6687be5d58113e16be590824d6cfa1a94467d0b7

tx2:0xed2c72ef1a552ddaec6dd1f5cddf0b59a8f37f82bdda5257d9c7c37db7bb9b08

事件简述

据现阶段官方传出的证明称,攻击者应用被黑客攻击的私钥来仿冒虚报的提现。直到29日早晨,一名客户不能从大桥上获取5k ETH 而向 Ronin 官方汇报以后,才看到了此次进攻。现阶段 Ronin 桥和 Katana Dex 已经终止,官方也将验证器阀值从5个提升到了8个。

Ronin 链现阶段由9个验证器连接点构成。为了更好地鉴别储蓄事件或提现事件,必须九个验证者签名中的五个。攻击者想方设法操纵了 Sky Mavis 的四个 Ronin 验证器和由 Axie DAO 运作的第三方验证器。验证器密匙计划方案是分散化设定的,为此来限定类似本次的进攻,但攻击者发觉了 Ronin 的无Gas RPC 连接点的侧门,进而获得了 Axie DAO 验证器的签名。

本次事件来历可以上溯到2021年11月,那时候 Axie DAO 验证器被容许派发完全免费买卖。这已于2021年12月终止,但 Axie DAO 验证器IP仍在容许目录中。一旦攻击者浏览了 Sky Mavis 系统软件,便可以根据无Gas RPC 从 Axie DAO 验证器得到签名。

现阶段 Ronin 官方已经确定故意提现中的签名与五个异常的验证者相符合。

汇总

此次进攻事件关键是私钥泄漏而致使的,尽管官方声称私钥泄漏是由于社会工程,但官方在伤害产生一周后才公布本次事件,原因免不了有一些苍白无力,难以不让人猜测新项目工作人员坚守自盗的很有可能。

在这里提示新项目方公布工程后一定要将私钥严实存放,严防钓鱼攻击,此外,最近,各种合同系统漏洞安全性事件高发,合同财务审计、风险控制对策、应急计划等都必须严格落实。

免责声明
世链财经作为开放的信息发布平台,所有资讯仅代表作者个人观点,与世链财经无关。如文章、图片、音频或视频出现侵权、违规及其他不当言论,请提供相关材料,发送到:2785592653@qq.com。
风险提示:本站所提供的资讯不代表任何投资暗示。投资有风险,入市须谨慎。
世链粉丝群:提供最新热点新闻,空投糖果、红包等福利,微信:juu3644。