前言
Ronin是新加坡游戏工作室SkyMavis开发的,是为支持游戏AxieInfinity而构建的以太坊侧链,使得用户能够自由地将资产转移到其他链上。
北京时间2022年3月29日,RoninNetwork官方发布声明称RoninBridge遭到入侵,损失了173600枚ETH和价值2550万美元的USDC。
知道创宇区块链安全实验室第一时间跟踪本次事件。
波场TRON主网Stake2.0易用性优化正式生效:据官方消息,7月14日,波场TRON网络正式通过了第88号提案投票请求,该投票请求旨在开启Stake 2.0易用性优化。目前,相关优化已在波场TRON主网正式生效,具体包括:允许用户取消已经发起但未完成的解质押(TIP-541:)、允许用户根据需求指定资源代理锁定时间(TIP-542)。据官方表示,88号提案的生效将大幅提升Stake 2.0的灵活性和用户使用的便利性。启用优化后,波场TRON将为用户提供更多的Stake操作选项,波场TRON资源的利用效率将进一步提高。[2023/7/14 10:55:30]
波场TRON总质押量(TVL)突破110亿美金:据TRONSCAN最新数据显示,波场TRON 总质押量(TVL)已达到11,016,696,815美金,突破110亿美金。据悉,总质押量是衡量波场生态的参考指标,通过计算质押在智能合约中的通证总价值之和而得到。
波场TRON致力于为去中心化互联网搭建基础设施。旗下的TRON协议是全球最大的基于区块链的去中心化应用操作系统协议之一,为协议上的去中心化应用运行提供高吞吐,高扩展,高可靠性的底层公链支持。波场TRON还通过创新的可插拔智能合约平台为以太坊智能合约提供更好的兼容性。[2021/9/6 23:03:05]
基础信息
Iron Finance在挤兑事件后将重启新版本并发行新代币:Polygon上部分抵押稳定币项目Iron Finance宣布将要推出V2版本来重建Iron Finance,并重新设计Iron稳定币机制。Iron Finance表示在产品方面将继续开发IronSwap(StableswapDEX)、IronLend和Iron稳定币,并计划7月5日推出Iron Swap,7月19日推出IronLend测试版,还将组建IronDAO以增加治理参与度并鼓励社区决策。[2021/6/28 0:10:43]
攻击者地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96
tx1:0xc28fad5e8d5e0ce6a2eaf67b6687be5d58113e16be590824d6cfa1a94467d0b7
tx2:0xed2c72ef1a552ddaec6dd1f5cddf0b59a8f37f82bdda5257d9c7c37db7bb9b08
事件概述
据目前官方发出的声明称,攻击者使用被黑客入侵的私钥来伪造虚假的提款。直到29日早上,一名用户无法从桥上提取5kETH而向Ronin官方报告之后,才发现了这次攻击。目前Ronin桥和KatanaDex已经停止,官方也将验证器阈值从5个提高到了8个。
Ronin链目前由9个验证器节点组成。为了识别存款事件或提款事件,需要九个验证者签名中的五个。攻击者设法控制了SkyMavis的四个Ronin验证器和由AxieDAO运行的第三方验证器。验证器密钥方案是分散设置的,以此来限制类似于此次的攻击,但攻击者发现了Ronin的无GasRPC节点的后门,从而获取了AxieDAO验证器的签名。
此次事件由来可以追溯到2021年11月,当时AxieDAO验证器被允许分发免费交易。这已于2021年12月停止,但AxieDAO验证器IP仍在允许列表中。一旦攻击者访问了SkyMavis系统,便能够通过无GasRPC从AxieDAO验证器获得签名。
目前Ronin官方已经确认恶意提款中的签名与五个可疑的验证者相匹配。
总结
本次攻击事件核心是私钥泄露而导致的,虽然官方宣称私钥泄露是因为社会工程,但官方在攻击发生一周后才公开此次事件,理由难免有些牵强,很难不使人猜想项目人员监守自盗的可能。
在此提醒项目方发布项目后一定要将私钥严密保管,谨防网络钓鱼,另外,近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。