前言
Ronin是新加坡游戲工作室SkyMavis開發的,是為支持游戲AxieInfinity而構建的以太坊側鏈,使得用戶能夠自由地將資產轉移到其他鏈上。
北京時間2022年3月29日,RoninNetwork官方發布聲明稱RoninBridge遭到入侵,損失了173600枚ETH和價值2550萬美元的USDC。
知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件。
幣安:已于29日暫停Ronin網絡的存取款服務:3月30日消息,幣安發布公告,稱在Ronin網絡上發生安全漏洞后,幣安調查團隊正在支持Axie Infinity團隊跟蹤相關的交易以識別黑客,且Ronin網絡上的所有存款和取款已于3月29日暫停。同時幣安支持Axie Infinity團隊和執法部門調查此問題,潛在的黑客地址也被阻止,并有一個專門的監控團隊來監視任何異常交易。[2022/3/30 14:27:27]
波場TRON賬戶總數突破2500萬:2021年3月16日,據TRONSCAN波場區塊鏈瀏覽器(https://tronscan.io)最新數據顯示,波場TRON賬戶總數達到25,000,097,突破2500萬。2021年1月25日,波場TRON賬戶總數突破2000萬,短短50天,波場TRON用戶增加500萬,日均增長10萬用戶,波場TRON各項數據穩中前進,波場生態逐漸強大的同時,也將迎來更多交易量。[2021/3/16 18:48:16]
基礎信息
行情 | EOS/ETH/TRON交易筆數大于10萬Dapps類占一半以上:據RatingDapp和RatingToken大數據監測顯示,過去一周EOS/ETH/TRON三大主流公鏈平臺交易筆數大于10萬Dapps共計42款,其中類占比最高達57.15%,游戲占11.9%,市場類占11.9%,其他類型占19.05%。各分類交易筆數最高的Dapp為:類BetDice(2390659),游戲EOSDynasty(943698),市場類WhaleEx(529953),其他類型HASH BABY(10841560)。[2019/6/14]
攻擊者地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96
tx1:0xc28fad5e8d5e0ce6a2eaf67b6687be5d58113e16be590824d6cfa1a94467d0b7
tx2:0xed2c72ef1a552ddaec6dd1f5cddf0b59a8f37f82bdda5257d9c7c37db7bb9b08
事件概述
據目前官方發出的聲明稱,攻擊者使用被黑客入侵的私鑰來偽造虛假的提款。直到29日早上,一名用戶無法從橋上提取5kETH而向Ronin官方報告之后,才發現了這次攻擊。目前Ronin橋和KatanaDex已經停止,官方也將驗證器閾值從5個提高到了8個。
Ronin鏈目前由9個驗證器節點組成。為了識別存款事件或提款事件,需要九個驗證者簽名中的五個。攻擊者設法控制了SkyMavis的四個Ronin驗證器和由AxieDAO運行的第三方驗證器。驗證器密鑰方案是分散設置的,以此來限制類似于此次的攻擊,但攻擊者發現了Ronin的無GasRPC節點的后門,從而獲取了AxieDAO驗證器的簽名。
此次事件由來可以追溯到2021年11月,當時AxieDAO驗證器被允許分發免費交易。這已于2021年12月停止,但AxieDAO驗證器IP仍在允許列表中。一旦攻擊者訪問了SkyMavis系統,便能夠通過無GasRPC從AxieDAO驗證器獲得簽名。
目前Ronin官方已經確認惡意提款中的簽名與五個可疑的驗證者相匹配。
總結
本次攻擊事件核心是私鑰泄露而導致的,雖然官方宣稱私鑰泄露是因為社會工程,但官方在攻擊發生一周后才公開此次事件,理由難免有些牽強,很難不使人猜想項目人員監守自盜的可能。
在此提醒項目方發布項目后一定要將私鑰嚴密保管,謹防網絡釣魚,另外,近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
北京時間2022年3月17日,我們的系統監控到涉及APECoin的可疑交易,根據twitter用戶WillSheehan的報告,套利機器人通過閃電貸薅羊毛,拿到6W多APECoin.
1900/1/1 0:00:00他們做對了什么? 一個項目的成功不能僅僅歸因于幾個因素,它需要出色的產品、優質的團隊、適合的契機以及運氣.
1900/1/1 0:00:001.前言 北京時間2022年03月13日,知道創宇區塊鏈安全實驗室監測到BSC上Paraluni項目遭到攻擊,黑客獲利約170萬美金。知道創宇區塊鏈安全實驗室將對本次事件深入跟蹤并進行分析.
1900/1/1 0:00:00前言 北京時間2022年4月15日,知道創宇區塊鏈安全實驗室監測到DeFi協議RikkeiFinance遭到黑客攻擊,被盜資金中已有2600枚BNB被轉入TornadoCash.
1900/1/1 0:00:00三月總結 MixMarvelDAOVenture3月,MixMarvel成立了去中心化投資組織MixMarvelDAOVenture,已準備好進入專業投資和孵化高質量Web3項目和團隊的階段.
1900/1/1 0:00:00撰文:FootprintAnalytics分析師Amanda數據來源:FootprintAnalytics-2021TokenReview本文是FootprintAnalytics區塊鏈年報的一.
1900/1/1 0:00:00