原創(chuàng) | 比特幣行情網(wǎng)(@OdailyChina)
作者 | Asher(@Asher_ 0210 )
昨日(8 月 6 日)下午,據(jù)派盾監(jiān)測,游戲區(qū)塊鏈 Ronin 疑似被黑客攻擊,被盜約 4000 枚 ETH 和 200 萬 USDC,價值約 1200 萬美元。
被盜 4000 枚 ETH
被盜約 200 萬枚 USDC
Ronin 竟然又被盜了?各個社區(qū)第一時間的反應(yīng)更多是不敢相信,“大家都在期待 Ronin 生態(tài)再次上線像 Pixels 這樣的爆款游戲,怎么會在這個時候發(fā)生盜竊事件?”更有人開玩笑說:“是不是可以趁機低價買入,畢竟他們不太可能在一年內(nèi)遭遇兩次攻擊吧!”
被盜事件在社區(qū)中迅速傳播后,RON 的價格在原本下跌的趨勢中進一步下滑,最低跌至 1.25 美元,短時間內(nèi)跌幅超 8%。
圖源:coingecko
團隊第一時間回應(yīng):Ronin Bridge 已暫時停用,后續(xù)發(fā)布更多信息針對社區(qū)關(guān)心的 Ronin Bridge 被攻擊一事,Ronin COO Psycheout 第一時間在 X 平臺發(fā)文表示,當(dāng)我們調(diào)查白帽黑客關(guān)于潛在 MEV 漏洞的報告時,Ronin Network 橋已暫停。團隊將很快發(fā)布更多信息,并且強調(diào) Ronin 橋目前安全保障了超過 8.5 億美元的資金。
Ronin COO 對被盜事件的回應(yīng)
同時,Ronin 也在 X 平臺發(fā)文表示,今天早些時候,白帽通知 Ronin 可能存在漏洞。在核實報告后,Ronin 橋在發(fā)現(xiàn)第一個鏈上操作后約 40 分鐘暫停。攻擊者提取了約 4000 枚 ETH 和 200 萬 USDC,價值約 1200 萬美元,這是單筆交易提款中可以從橋中提取的最大 ETH 和 USDC 金額,橋接限額是提高大額資金提款安全性的重要保障,并有效防止了此漏洞造成的進一步損害。
Ronin 稱,由于橋梁升級在經(jīng)過治理流程部署后,引入了一個問題,導(dǎo)致跨鏈橋誤解了提取資金所需的橋接運營商投票門檻。目前正在努力尋找根本原因的解決方案,橋接更新將接受嚴(yán)格審核,然后由橋接運營商投票決定是否部署。目前正在與這些看似白帽黑客的行為者進行談判,他們已經(jīng)做出了善意回應(yīng),無論談判結(jié)果如何,所有用戶資金都是安全的,任何短缺資金都將在橋梁開放時重新存入,將在下周分享事后分析結(jié)果,其中介紹技術(shù)細節(jié)和計劃措施,以防止將來發(fā)生類似事件。
漏洞原因:Ronin Bridge 漏洞系權(quán)重被修改為意外值,資金無需多簽同意即可提取在被盜事件發(fā)生后,據(jù) Beosin 安全團隊分析,此次異常行為的根本原因在于項目方升級合約時,未正常初始化配置跨鏈交易確認所需的 operator 權(quán)重,導(dǎo)致合約中的 minimumVoteWeight 參數(shù)為零,從而使得任何人的簽名都能通過跨鏈驗證。目前,Ronin bridge 已經(jīng)流失 3996 枚 ETH,資金存放在 0xc6aec68dd6272efcbc74fb5308fe7f070437465e(該地址是 MEV bot,故推測可能是白帽行為)。
Ronin bridge 漏洞分析
不幸中的萬幸,這次 Ronin 上的黑客攻擊確實是白帽黑客,根據(jù) Ronin 在 X 平臺發(fā)布的相關(guān)信息,白帽黑客已歸還約 1000 萬美元的 ETH 以及 200 萬枚 USDC,并且表示漏洞賞金計劃將獎勵白帽 50 萬美元的賞金。同時,Ronin 橋接在重新開放前將接受審計,并且會在審計進展時提供最新消息。
確保資金安全始終是首要任務(wù)
Ronin 這次的盜竊事件在社區(qū)中引發(fā)了強烈的負面情緒,原因在于 Ronin 鏈之前已多次遭遇黑客攻擊,進一步加劇了大家對安全問題的敏感和恐慌。幸運的是,此次事件僅涉及白帽黑客的攻擊,并且 Ronin 鏈上的用戶資金是安全的。
然而,根據(jù)區(qū)塊鏈情報公司 TRM Labs 最近發(fā)布的報告, 2024 年上半年黑客竊取的加密貨幣(按美元價值計算)是 2023 年上半年的兩倍多。數(shù)據(jù)顯示,截至今年 6 月 24 日,加密貨幣盜竊總額達 13.8 億美元,而 2023 年同期為 6.57 億美元。今年迄今為止的五起最大黑客事件占被盜總金額的 70% 。可以看出,隨著 Web3 行業(yè)的快速發(fā)展,被盜金額顯著增加。因此,無論是用戶還是項目方,確保資金安全始終是首要任務(wù)。對于項目方來說,一次被盜就會導(dǎo)致大量真實用戶流失;而對于用戶而言,一次被盜可能意味著“一年白干”。
在被盜事件發(fā)生后,據(jù) Beosin 安全團隊分析,此次異常行為的根本原因在于項目方升級合約時,未正常初始化配置跨鏈交易確認所需的 operator 權(quán)重,導(dǎo)致合約中的 minimumVoteWeight 參數(shù)為零,從而使得任何人的簽名都能通過跨鏈驗證。目前,Ronin bridge 已經(jīng)流失 3996 枚 ETH,資金存放在 0xc6aec68dd6272efcbc74fb5308fe7f070437465e(該地址是 MEV bot,故推測可能是白帽行為)。
Ronin bridge 漏洞分析
不幸中的萬幸,這次 Ronin 上的黑客攻擊確實是白帽黑客,根據(jù) Ronin 在 X 平臺發(fā)布的相關(guān)信息,白帽黑客已歸還約 1000 萬美元的 ETH 以及 200 萬枚 USDC,并且表示漏洞賞金計劃將獎勵白帽 50 萬美元的賞金。同時,Ronin 橋接在重新開放前將接受審計,并且會在審計進展時提供最新消息。
確保資金安全始終是首要任務(wù)
Ronin 這次的盜竊事件在社區(qū)中引發(fā)了強烈的負面情緒,原因在于 Ronin 鏈之前已多次遭遇黑客攻擊,進一步加劇了大家對安全問題的敏感和恐慌。幸運的是,此次事件僅涉及白帽黑客的攻擊,并且 Ronin 鏈上的用戶資金是安全的。
然而,根據(jù)區(qū)塊鏈情報公司 TRM Labs 最近發(fā)布的報告, 2024 年上半年黑客竊取的加密貨幣(按美元價值計算)是 2023 年上半年的兩倍多。數(shù)據(jù)顯示,截至今年 6 月 24 日,加密貨幣盜竊總額達 13.8 億美元,而 2023 年同期為 6.57 億美元。今年迄今為止的五起最大黑客事件占被盜總金額的 70% 。可以看出,隨著 Web3 行業(yè)的快速發(fā)展,被盜金額顯著增加。因此,無論是用戶還是項目方,確保資金安全始終是首要任務(wù)。對于項目方來說,一次被盜就會導(dǎo)致大量真實用戶流失;而對于用戶而言,一次被盜可能意味著“一年白干”。
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請第一時間聯(lián)系我們修改或刪除,多謝。
