2022 年 03 月 29 日,Axie Infinity 侧链 Ronin Network 发布社区预警,Ronin Network 出现安全漏洞,Ronin Bridge 共 17.36 万枚 ETH 和 2550 万枚 USDC 被盗,损失超 6.1 亿美元。慢雾安全团队第一时间介入分析,并将分析结果分享如下。
相关信息
Ronin 是以太坊的一个侧链,专门为链游龙头 Axie Infinity 而创建,它自称是将朝着「NFT 游戏最常用的以太坊侧链」方向发展。据了解,Axie Infinity 的团队 Sky Mavis 想要一个可靠、快速且廉价的网络,从而为游戏的发展提供保障。他们需要一个以游戏为先的扩容方案,它不仅要能经得起时间的考验,还得满足游戏快速发展所带来的大量需求。于是,Ronin 链便应运而生了。
知情人士:Alameda曾在2018年XRP的交易中损失超过三分之二的资产:金色财经报道,在FTX倒闭之前,人们认为Alameda Research是业内顶级的量化交易公司和做市商之一。然而,这种看法在很大程度上可能只是表面现象,最近的一份报告详细说明Alameda早在 2018年就遭遇了财务困境。知情人士表示,2018年春季,Alameda因押注XRP而遭受重创,损失了Alameda超过三分之二的资产。知情人士解释说,因此SBF开始再次征集贷款,并承诺20%的回报率。《华尔街日报》看到的一份文件显示,SBF的律师解释了Alameda如何在向贷方进行的一次特定推销中成为顶级做市商,但律师没有透露任何财务信息。
此外,报告详细说明,当SBF创办Alameda时,这家贸易公司通过套利赚取了数百万美元。作为套利者,SBF声称机会来自日本和韩国等国家,因为比特币在这些地区交易溢价。由于在韩国存在所谓的“泡菜溢价”,SBF表示BTC有时会高出30%,在日本则高出10%。有大量报道强调Alameda通过加密货币套利赚取了数百万美元,但《华尔街日报》最近于 2022 年 12 月 31 日发表的一篇报道详细说明了Alameda的交易并不总是有利可图。[2023/1/3 22:21:17]
黑客地址:
去中心化组织BadgerDAO确认被盗,损失超1.2亿美元:12月2日,去中心化组织BadgerDAO确认遭受攻击,损失达1.203亿美元,包括约2,100枚BTC和151枚ETH。目前社区渠道中的猜测是,黑客攻击是用户界面中的漏洞,而不是核心协议合约中的漏洞。Badger工程师对此进行调查时,已暂停所有智能合约,以防止造成进一步损失。
此前报道,去中心化组织BadgerDAO遭遇黑客攻击,用户资产在未经授权的情况下被转移。据开发人员初步清点受损资产后表示,本次事件中已损失13.6万枚bcvxCRV、6.4万枚bveCVX、38枚ibBTC/sBTC、13bibBTC/sBTC,以及19枚DIGG。(CoinDesk)[2021/12/2 12:46:53]
0x098B716B8Aaf21512996dC57EB0615e2383E2f96
加密货币投资者在一起网络中损失超过30万美元:在一个加密货币局中,一个70岁名叫约瑟夫的受害者损失了30多万美元。该局伪装成一种赚钱的活动,投资越多,赚的就越多。尽管如此,约瑟夫确信他发现了一个金矿。经营该业务的子告诉他,只要提供他总体持有量的大约百分之十,就可以在他们的投资平台上开始投资。(livebitcoinnews)[2021/8/2 1:28:37]
攻击细节
据官方发布的信息,攻击者使用被黑的私钥来伪造提款,仅通过两次交易就从 Ronin bridge 中抽走了资金。值得注意的是,黑客事件早在 3 月 23 日就发生了,但官方据称是在用户报告无法从 bridge 中提取 5k ETH 后才发现这次攻击。本次事件的损失甚至高于去年的 PolyNetwork 被黑事件,后者也窃取了超过 6 亿美元。
美国FTC:消费者自10月以来因加密投资局损失超8000万美元:美国联邦贸易委员会(FTC)表示,自去年10月以来,消费者已报告因加密货币投资局损失了超过8000万美元,同比增长了10倍以上。此外,美国消费者因假冒的马斯克的账号(进行加密货币)损失了200万美元。(金十)[2021/5/18 22:12:32]
事情背景可追溯到去年 11 月,当时 Sky Mavis 请求 Axie DAO 帮助分发免费交易。由于用户负载巨大,Axie DAO 将 Sky Mavis 列入白名单,允许 Sky Mavis 代表其签署各种交易,该过程于 12 月停止。但是,对白名单的访问权限并未被撤销,这就导致一旦攻击者获得了 Sky Mavis 系统的访问权限,就能够通过 gas-free RPC 从 Axie DAO 验证器进行签名。Sky Mavis 的 Ronin 链目前由九个验证节点组成,其中至少需要五个签名来识别存款或取款事件。攻击者通过 gas-free RPC 节点发现了一个后门,最终攻击者设法控制了五个私钥,其中包括 Sky Mavis 的四个 Ronin 验证器和一个由 Axie DAO 运行的第三方验证器。
比特币与其他排名10的加密货币 昨日总市值损失超过100亿美元:1月16日,对加密货币投资者来说是一个糟糕的日子,因为主要加密货币品种普遍跌幅在15%以上。据财富杂志数据,截止美国东部时间周二下午3点,排名前10的加密货币24小时内总损失达到108亿美元,相当于损失掉四分之一个亚马逊,或者麦当劳与波音公司市值的总和。[2018/1/17]
MistTrack
在事件发生后,慢雾第一时间追踪分析并于北京时间 3 月 30 日凌晨 1:09 发声。
据慢雾 MistTrack 反追踪系统分析,黑客在 3 月 23 日就已获利,并将获利的 2550 万枚 USDC 转出,接着兑换为 ETH。
而在 3 月 28 日 2:30:38,黑客才开始转移资金。
据慢雾 MistTrack 分析,黑客首先将 6250 ETH 分散转移,并将 1220 ETH 转移到 FTX、1 ETH 转到 Crypto.com、3750 ETH 转到 Huobi。
值得注意的是,黑客发起攻击资金来源是从 Binance 提币的 1.0569 ETH。
目前,Huobi、Binance 创始人均发表了将全力支持 Axie Infinity 的声明 ,FTX 的 CEO SBF 也在一封电子邮件中表示,将协助取证。
截止目前,仍有近 18 万枚 ETH 停留在黑客地址。
目前黑客只将资金转入了中心化平台,很多人都在讨论黑客似乎只会盗币,却不会洗币。尽管看起来是这样,但这也是一种常见的简单粗暴的洗币手法,使用假 KYC、代理 IP、假设备信息等等。从慢雾目前获取到的特殊情报来看,黑客并不“傻”,还挺狡猾,但追回还是有希望的,时间上需要多久就不确定了。当然,这也要看执法单位的决心如何了。
总结
本次攻击事件主要原因在于 Sky Mavis 系统被入侵,以及 Axie DAO 白名单权限维护不当。同时我们不妨大胆推测下:是不是 Sky Mavis 系统里持有 4 把验证器的私钥?攻击者通过入侵 Sky Mavis 系统获得四个验证节点权限,然后对恶意提款交易进行签名,再利用? Axie DAO 对 Sky Mavis 开放的白名单权限,攻击者通过 gas-free RPC 向 Axie DAO 验证器推送恶意提款交易获得第五个验证节点对恶意提款交易的签名,进而通过? 5/9 签名验证。
最后,在此引用安全鹭(Safeheron)的建议:
1、私钥最好通过安全多方计算(MPC)消除单点风险;
2、私钥分片分散到多台硬件隔离的芯片里保护;
3、大资金操作应有更多的策略审批保护,保证资金异动第一时间由主要负责人获悉并确认;
4、被盗实际发生时间是 3 月 23 日,项目方应加强服务和资金监控。
参考链接:
Ronin Network 官方分析:
https://roninblockchain.substack.com/p/community-alert-ronin-validators
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。