AVI:慢雾:损失超6.1亿美元,详解Ronin Network黑客事件始末

2022年03月29日,AxieInfinity?侧链RoninNetwork发布社区预警,RoninNetwork出现安全漏洞,RoninBridge共17.36万枚?ETH?和2550万枚?USDC?被盗,损失超6.1亿美元。慢雾安全团队第一时间介入分析,并将分析结果分享如下。

相关信息

Ronin是以太坊的一个侧链,专门为链游龙头AxieInfinity而创建,它自称是将朝着「NFT?游戏最常用的以太坊侧链」方向发展。据了解,AxieInfinity的团队SkyMavis想要一个可靠、快速且廉价的网络,从而为游戏的发展提供保障。他们需要一个以游戏为先的扩容方案,它不仅要能经得起时间的考验,还得满足游戏快速发展所带来的大量需求。于是,Ronin链便应运而生了。

Celsius Network开始通知符合条件的用户提取托管资产:2月15日消息,加密借贷平台Celsius Network发推称,某些托管账户中可分配资产的提款即将重启,Celsius开始通知符合条件的用户采取必要步骤以进行提款。符合条件的用户还将收到与提现活动相关的Gas和交易费用具体信息。账户中没有足够资产来支付这些费用的合格用户将不允许提取其资产。符合条件的用户有望在2月15日左右收到来自Celsius的电子邮件和Celsius应用程序发布的通知。[2023/2/15 12:08:13]

黑客地址:

0x098B716B8Aaf21512996dC57EB0615e2383E2f96

Hooked:正积极实施用于质押/消费HOOK的实用案例:1月10日消息,Web3社交网络Hooked Protocol在其社交平台分享其长期愿景,表示团队要在Hooked社交基础设施、Hooked生态系统以及Hooked元宇宙三个方面进行建设。

此外,HOOK是协议的通缩型治理和实用Token,将作为Hooked生态系统的经济媒介,充当Hooked的财务支柱。项目方正在积极实施用于质押/消费HOOK的实用案例,以推动其元宇宙中的经济流动。[2023/1/10 11:04:29]

攻击细节

据官方发布的信息,攻击者使用被黑的私钥来伪造提款,仅通过两次交易就从Roninbridge中抽走了资金。值得注意的是,黑客事件早在3月23日就发生了,但官方据称是在用户报告无法从bridge中提取5kETH后才发现这次攻击。本次事件的损失甚至高于去年的PolyNetwork?被黑事件,后者也窃取了超过6亿美元。

今日恐慌与贪婪指数为14,恐慌程度下降:6月12日,今日恐慌与贪婪指数为14(昨日为12),恐慌程度较昨日下降,等级仍为极度恐慌。

注:恐慌指数阈值为0-100,包含指标:波动性(25%)+市场交易量(25%)+社交媒体热度(15%)+市场调查(15%)+比特币在整个市场中的比例(10%)+谷歌热词分析(10%)。[2022/6/12 4:20:00]

事情背景可追溯到去年11月,当时SkyMavis请求Axie?DAO?帮助分发免费交易。由于用户负载巨大,AxieDAO将SkyMavis列入白名单,允许SkyMavis代表其签署各种交易,该过程于12月停止。但是,对白名单的访问权限并未被撤销,这就导致一旦攻击者获得了SkyMavis系统的访问权限,就能够通过gas-freeRPC从AxieDAO验证器进行签名。SkyMavis的Ronin链目前由九个验证节点组成,其中至少需要五个签名来识别存款或取款事件。攻击者通过gas-freeRPC节点发现了一个后门,最终攻击者设法控制了五个私钥,其中包括SkyMavis的四个Ronin验证器和一个由AxieDAO运行的第三方验证器。

BAYC系列NFT24小时交易额为192.44万美元:金色财经消息,据NFTGo.io数据显示,Bored Ape Yacht Club系列NFT总市值达22.1亿美元,在所有NFT项目总市值排名中位列第2;其24小时交易额为192.44万美元,增幅达151.43%。截止发稿时,该系列NFT当前地板价为91ETH。[2022/5/25 3:41:08]

MistTrack

在事件发生后,慢雾第一时间追踪分析并于北京时间3月30日凌晨1:09发声。

据慢雾MistTrack反追踪系统分析,黑客在3月23日就已获利,并将获利的2550万枚USDC转出,接着兑换为ETH。

而在3月28日2:30:38,黑客才开始转移资金。

据慢雾MistTrack分析,黑客首先将6250ETH分散转移,并将1220ETH转移到?FTX、1ETH转到Crypto.com、3750ETH转到Huobi。

值得注意的是,黑客发起攻击资金来源是从Binance提币的1.0569ETH。

目前,Huobi、Binance?创始人均发表了将全力支持AxieInfinity的声明,FTX的CEOSBF也在一封电子邮件中表示,将协助取证。

截止目前,仍有近18万枚ETH停留在黑客地址。

目前黑客只将资金转入了中心化平台,很多人都在讨论黑客似乎只会盗币,却不会洗币。尽管看起来是这样,但这也是一种常见的简单粗暴的洗币手法,使用假KYC、代理IP、假设备信息等等。从慢雾目前获取到的特殊情报来看,黑客并不“傻”,还挺狡猾,但追回还是有希望的,时间上需要多久就不确定了。当然,这也要看执法单位的决心如何了。

总结

本次攻击事件主要原因在于SkyMavis系统被入侵,以及AxieDAO白名单权限维护不当。同时我们不妨大胆推测下:是不是SkyMavis系统里持有4把验证器的私钥?攻击者通过入侵SkyMavis系统获得四个验证节点权限,然后对恶意提款交易进行签名,再利用?AxieDAO对SkyMavis开放的白名单权限,攻击者通过gas-freeRPC向AxieDAO验证器推送恶意提款交易获得第五个验证节点对恶意提款交易的签名,进而通过?5/9签名验证。

最后,在此引用安全鹭的建议:

1、私钥最好通过安全多方计算消除单点风险;

2、私钥分片分散到多台硬件隔离的芯片里保护;

3、大资金操作应有更多的策略审批保护,保证资金异动第一时间由主要负责人获悉并确认;

4、被盗实际发生时间是3月23日,项目方应加强服务和资金监控。

参考链接:

RoninNetwork官方分析

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

以太坊TOK:解读入门级 Token 经济学分析框架

从投资人的角度,去判断一个加密项目主要关注点之一就是项目的Token设计模式;从创业者的角度,如何设计项目的Token经济模型事关成败;从实际情况而言,市面上的加密货币数量层出不穷.

[0:15ms0-1:5ms