AVI:慢霧：損失超6.1億美元，詳解Ronin Network黑客事件始末_mav幣挖礦

2022年03月29日，AxieInfinity?側鏈RoninNetwork發布社區預警，RoninNetwork出現安全漏洞，RoninBridge共17.36萬枚?ETH?和2550萬枚?USDC?被盜，損失超6.1億美元。慢霧安全團隊第一時間介入分析，并將分析結果分享如下。

相關信息

Ronin是以太坊的一個側鏈，專門為鏈游龍頭AxieInfinity而創建，它自稱是將朝著「NFT?游戲最常用的以太坊側鏈」方向發展。據了解，AxieInfinity的團隊SkyMavis想要一個可靠、快速且廉價的網絡，從而為游戲的發展提供保障。他們需要一個以游戲為先的擴容方案，它不僅要能經得起時間的考驗，還得滿足游戲快速發展所帶來的大量需求。于是，Ronin鏈便應運而生了。

聯合國兒童基金會正在創建DAO原型:金色財經報道，聯合國兒童基金會（UNICEF）正在創建一個去中心化自治組織（DAO）原型，為全球去中心化數字公共產品 (DPG) 公平分配電力和通信，數字公共產品 (DPG) 是一種開源軟件、模型和標準，各國可以使用它們來構建數字基礎設施，作為私有專有解決方案的替代方案。 聯合國兒童基金會試用了開源投票工具 Snapshot 來提出潛在的治理建議，該 DAO 建立 Polygon 之上。[2023/3/30 13:35:56]

黑客地址：

0x098B716B8Aaf21512996dC57EB0615e2383E2f96

曼徹斯特商學院開設金融科技研究課程:金色財經報道，曼徹斯特商學院(AMBS)正在啟動一個新的專家中心，以加速對金融技術的研究，并為該行業的新挑戰開發實際解決方案。金融技術研究中心 (CFTS) 將成為金融數字化進步的知識和研究中心，包括金融服務領域的開放銀行、加密貨幣、區塊鏈和人工智能。它將與行業合作伙伴合作，提供理論見解和實用解決方案，幫助企業應對他們面臨的最新挑戰，并加速技術的采用和影響。隨著該行業的不斷多元化，CFTS計劃為學生和學者提供廣泛的專業課程和研究領域，涵蓋金融科技顛覆、去中心化金融（包括 NFT 和 Web3）和開放金融：經濟與戰略等主題開放的API。[2022/11/16 13:12:57]

攻擊細節

港股上市公司網龍：上半年加密貨幣投資虧損為5521萬元:9月20日消息，港股上市公司萬龍在昨日公布的半年報中表示，截止6月30日，由于加密貨幣市場動蕩，其加密貨幣投資確認減值虧損5521萬元。而在此前公布的2021年報中，該公司表示其持有的加密貨幣賬面價值為1.27億元。

此前在去年11月，該公司的海外子公司曾在Solana發行尼奧寵物系列NFT，共計4233個NFT被售出，銷售金額為8708個SOL。[2022/9/20 7:08:33]

據官方發布的信息，攻擊者使用被黑的私鑰來偽造提款，僅通過兩次交易就從Roninbridge中抽走了資金。值得注意的是，黑客事件早在3月23日就發生了，但官方據稱是在用戶報告無法從bridge中提取5kETH后才發現這次攻擊。本次事件的損失甚至高于去年的PolyNetwork?被黑事件，后者也竊取了超過6億美元。

金融科技初創公司Bits Crypto完成120萬美元種子輪融資:金色財經消息，金融科技初創公司Bits Crypto宣布完成120萬美元種子輪融資，HOF Capital領投，本輪融資將用于構建其移動加密投資應用程序。Bits Crypto允許用戶的信用卡交易被四舍五入到下一美元，并將差額投資于加密貨幣。（CoinDesk）[2022/8/3 2:54:41]

事情背景可追溯到去年11月，當時SkyMavis請求Axie?DAO?幫助分發免費交易。由于用戶負載巨大，AxieDAO將SkyMavis列入白名單，允許SkyMavis代表其簽署各種交易，該過程于12月停止。但是，對白名單的訪問權限并未被撤銷，這就導致一旦攻擊者獲得了SkyMavis系統的訪問權限，就能夠通過gas-freeRPC從AxieDAO驗證器進行簽名。SkyMavis的Ronin鏈目前由九個驗證節點組成，其中至少需要五個簽名來識別存款或取款事件。攻擊者通過gas-freeRPC節點發現了一個后門，最終攻擊者設法控制了五個私鑰，其中包括SkyMavis的四個Ronin驗證器和一個由AxieDAO運行的第三方驗證器。

MistTrack

在事件發生后，慢霧第一時間追蹤分析并于北京時間3月30日凌晨1:09發聲。

據慢霧MistTrack反洗錢追蹤系統分析，黑客在3月23日就已獲利，并將獲利的2550萬枚USDC轉出，接著兌換為ETH。

而在3月28日2:30:38，黑客才開始轉移資金。

據慢霧MistTrack分析，黑客首先將6250ETH分散轉移，并將1220ETH轉移到?FTX、1ETH轉到Crypto.com、3750ETH轉到Huobi。

值得注意的是，黑客發起攻擊資金來源是從Binance提幣的1.0569ETH。

目前，Huobi、Binance?創始人均發表了將全力支持AxieInfinity的聲明，FTX的CEOSBF也在一封電子郵件中表示，將協助取證。

截止目前，仍有近18萬枚ETH停留在黑客地址。

目前黑客只將資金轉入了中心化平臺，很多人都在討論黑客似乎只會盜幣，卻不會洗幣。盡管看起來是這樣，但這也是一種常見的簡單粗暴的洗幣手法，使用假KYC、代理IP、假設備信息等等。從慢霧目前獲取到的特殊情報來看，黑客并不“傻”，還挺狡猾，但追回還是有希望的，時間上需要多久就不確定了。當然，這也要看執法單位的決心如何了。

總結

本次攻擊事件主要原因在于SkyMavis系統被入侵，以及AxieDAO白名單權限維護不當。同時我們不妨大膽推測下：是不是SkyMavis系統里持有4把驗證器的私鑰？攻擊者通過入侵SkyMavis系統獲得四個驗證節點權限，然后對惡意提款交易進行簽名，再利用?AxieDAO對SkyMavis開放的白名單權限，攻擊者通過gas-freeRPC向AxieDAO驗證器推送惡意提款交易獲得第五個驗證節點對惡意提款交易的簽名，進而通過?5/9簽名驗證。

最后，在此引用安全鷺的建議：

1、私鑰最好通過安全多方計算消除單點風險；

2、私鑰分片分散到多臺硬件隔離的芯片里保護；

3、大資金操作應有更多的策略審批保護，保證資金異動第一時間由主要負責人獲悉并確認；

4、被盜實際發生時間是3月23日，項目方應加強服務和資金監控。

參考鏈接：

RoninNetwork官方分析

Tags：MAVSKYAXIAVImav幣挖礦isky幣歷史最高價AXIS幣NAVI價格

酷幣