來源:Ronin?博客
編譯:胡韜,鏈捕手
關鍵點
Ronin橋被盜173,600ETH和2550萬USDC。Ronin橋和KatanaDex已經停止使用。我們正在與執法人員、密碼學家和投資者合作,以確保所有資金都得到追回或報銷。Ronin上的所有AXS、RON和SLP目前都是安全的。今天早些時候,我們發現在3月23日,SkyMavis的Ronin驗證器節點和AxieDAO驗證器節點遭到破壞,導致在兩筆交易中從Ronin橋接了173,600個以太坊和2550萬美元的USDC。攻擊者使用被盜的私鑰來偽造假提款。我們今天早上在報告用戶無法從跨鏈橋中提取5000ETH后發現了這次攻擊。?
有關攻擊的詳細信息
Lookonchain:某地址解質押 246 萬枚 SUSHI,虧損約 1850 萬美元:金色財經報道,據 Lookonchain 監測,推特用戶 @9x9x9eth 解質押 246 萬枚 SUSHI,他曾于 2021 年和 2022 年從幣安中提取了 128 萬枚 SUSHI(960 萬美元),并花費 3160 枚 ETH(約 1104 萬美元)購買了 90 萬枚 SUSHI ,平均購買價格約為 9.46 美元,按照目前的價格,他損失了約 1850 萬美元。
隨后該推特用戶回復稱,如果包括在所有 CEX 上購買的,實際上損失了 3000 萬美元以上。[2023/6/5 21:15:19]
SkyMavis的Ronin鏈目前由9個驗證節點組成。為了識別存款事件或取款事件,需要九個驗證者簽名中的五個。攻擊者設法控制了SkyMavis的四個Ronin驗證器和一個由AxieDAO運行的第三方驗證器。?
Level Finance攻擊者將3345枚BNB轉至Tornado Cash:金色財經報道,據PeckShieldAlert監測,Level Finance攻擊者將3345枚BNB(約100萬美元)轉移到Tornado Cash。[2023/5/29 9:48:30]
驗證器密鑰方案被設置為去中心化的,因此它限制了與此類似的攻擊方向,但攻擊者通過我們的無gasRPC節點發現了一個后門,他們濫用該后門來獲取AxieDAO驗證器的簽名。??
這可以追溯到2021年11月,當時SkyMavis請求AxieDAO幫助分發免費交易,因為用戶負載巨大。AxieDAO允許SkyMavis代表其簽署各種交易。這已于2021年12月停止,但未撤銷許可名單訪問權限。?
《富爸爸窮爸爸》作者:BTC、黃金和白銀價格在未來將持續上漲:金色財經報道,《富爸爸窮爸爸》作者Robert Kiyosaki近日在Twitter上發文強調比特幣在過去一年的價格上漲趨勢,并贊揚了比特幣在過去12個月的令人印象深刻的表現,預測其價格在未來會繼續反彈。且預測BTC以及黃金和白銀在接下來的幾個月中可能會繼續保持上漲趨勢。[2023/4/18 14:11:16]
一旦攻擊者獲得了SkyMavis系統的訪問權限,他們就能夠通過使用無gasRPC從AxieDAO驗證器獲取簽名。?
我們已確認惡意提款中的簽名與五個可疑驗證者相符。
所采取的行動
事件一經曝光,我們便迅速采取行動,并積極采取措施防范未來的攻擊。為了防止進一步的短期損害,我們將驗證人門檻從5個增加到8個。我們正在與主要交易所的安全團隊保持聯系,并將在未來幾天內與所有人聯系。?我們正在遷移我們的節點,這與我們的舊基礎設施完全分離。我們暫時暫停了RoninBridge,以確保沒有進一步的攻擊方向保持開放。Binance還禁用了他們與Ronin之間的橋梁,以謹慎起見。一旦我們確定沒有資金可以耗盡,這座橋將在以后開放。?由于無法套利和向RoninNetwork存入更多資金,我們暫時禁用了KatanaDEX。?我們正在與Chainalysis合作監控被盜資金。??
Arbitrum Nova與Web3數據提供商Covalent集成:金色財經報道,Arbitrum生態鏈Arbitrum Nova宣布與Web3數據提供商Covalent集成以提高開發人員的數據可用性,從而與區塊鏈技術一起構建更好的游戲生態系統。根據官方博客文章稱,本次Arbitrum Nova和Covalent集成將有助于擴展整個 Web3 開發并促進大規模采用,同時專注于提升 Gamefi 生態系統,這將使個人和企業能夠更好地控制他們的數據和資產。(crypto-economy)[2023/3/9 12:52:38]
下一步?
我們正在與各個政府機構直接合作,以確保將罪犯繩之以法。?
我們正在與AxieInfinity/SkyMavis利益相關者討論如何最好地推進并確保沒有用戶的資金損失。?
SkyMavis長期存在,并將繼續建設。?
社區問答
為什么驗證者閾值只有5個?
最初,SkyMavis選擇了9個閾值中的5個,因為有些節點沒有趕上鏈,或者卡在同步狀態。展望未來,門檻將是九分之八。隨著時間的推移,我們將在加快的時間線上擴展驗證器集。
現在資金在哪里??
大部分被盜資金仍在黑客錢包中:https://etherscan.io/address/0x098b716b8aaf21512996dc57eb0615e2383e2f96
這怎么發生的?
我們正在進行徹底調查。?
五個驗證者私鑰被盜:4個SkyMavis驗證器和1個AxieDAO。
驗證器密鑰方案設置為去中心化,以限制此類攻擊方向,但攻擊者通過我們的無gasRPC節點發現了一個后門,他們濫用該后門來獲取AxieDAO驗證器的簽名。??
這可以追溯到2021年11月,當時AxieDAO驗證器被列入分發免費交易的許可名單。這已于2021年12月停止,但AxieDAO驗證器IP仍在許可名單上。?
一旦攻擊者獲得了SkyMavis系統的訪問權限,他們就能夠通過使用無gasRPC從AxieDAO驗證器獲取簽名。?
我們已經確認惡意提款中的簽名與五個疑似驗證者相符。
我使用Ronin安全嗎?
正如我們所看到的,Ronin也不能幸免于難,這次攻擊強化了優先考慮安全性、保持警惕和減輕所有威脅的重要性。我們知道需要贏得信任,并且正在利用我們掌握的所有資源來部署最復雜的安全措施和流程,以防止未來的攻擊。?
為什么我們現在會收到有關違規的通知??
SkyMavis團隊于3月29日發現了安全漏洞,此前有報道稱用戶無法從跨鏈橋中提取5000ETH。
Ronin的資金有風險嗎?
Ronin上的ETH和USDC存款已從橋接合約中全部被盜。我們正在與執法人員、密碼學家和我們的投資者合作,以確保不會損失用戶資金。這是我們現在的首要任務。
Ronin上的所有AXS、RON和SLP目前都是安全的。
這對于在RoninNetwork上擁有資金的用戶意味著什么?
截至目前,用戶無法向RoninNetwork提款或存入資金。SkyMavis致力于確保收回或償還所有耗盡的資金。
4月13日,跨鏈互操作性協議?Nomad?以2.25億美元估值完成高達2200萬美元的種子輪融資,領投方為Polychain.
1900/1/1 0:00:00原文標題:《被忽視的角落:職業社交在Web3的未來》 撰文:Troyso 本文為DeFieye征文大賽獲獎作品「工作為人們提供了生活所需,工作類型決定了他們在生活中、在‘社會’中的合理地位.
1900/1/1 0:00:00點擊上方“藍色字”可關注我們!暴走時評:加密貨幣創業家SinaEstavi去年以290萬美元的價格買下了以推特創始人JackDorsey的第一條推文鑄造的NFT.
1900/1/1 0:00:00一度躋身全球第三大穩定幣的TerraUSD在近日迅速崩盤了,此事不僅攪動了幣圈,還吸引到了美國財政部長耶倫的關注。5月10日的聽證會上,耶倫強調了穩定幣監管框架的必要性.
1900/1/1 0:00:00這篇文章是基于我在Crypto,Culture,&Society的演講而寫成的。Crypto,Culture,&Society是一個學習型的DAO,它正致力于為加密貨幣領域建立起.
1900/1/1 0:00:00UST的脫鉤是最近加密世界的大事,不少人也因此把視線重新聚焦回了UST。通過鏈上數據,我找到了5月7號從Anchor中提款最多的錢包們,凈值=提款金額-存款金額,通過這些數據讓我們來探討,UST.
1900/1/1 0:00:00