原文| Odaily星球日報( @OdailyChina )
作者| Asher( @Asher_ 0210 )
昨天(8 月 6 日)下午,根據派盾監測,遊戲區塊鏈Ronin 疑似被駭客攻擊,被盜約4,000 枚ETH 和200 萬USDC,價值約1,200 萬美元。
Ronin 竟然又被偷了?各個社區第一時間的反應更多是不敢相信,「大家都在期待Ronin 生態再次上線像Pixels 這樣的爆款遊戲,怎麼會在這個時候發生盜竊事件?」更有人開玩笑說:「是不是可以趁機低價買入,畢竟他們不太可能在一年內遭遇兩次攻擊吧!
被盜事件在社區中迅速傳播後,RON 的價格在原本下跌的趨勢中進一步下滑,最低跌至1.25 美元,短時間內跌幅超8%。
圖源: coingecko
團隊第一時間回應:Ronin Bridge 已暫時停用,後續發布更多訊息
針對社群關心的 Ronin Bridge 被攻擊一事,Ronin COO Psycheout 第一時間在X 平台發文表示,當我們調查白帽駭客關於潛在MEV 漏洞的報告時,Ronin Network 橋已暫停。團隊將很快發布更多信息,並強調 Ronin 橋目前安全保障了超過8.5 億美元的資金。
同時,Ronin 也在X 平台發文表示,今天早些時候,白帽通知Ronin 可能有漏洞。在核實報告後,Ronin 橋在發現第一個鏈上操作後約40 分鐘暫停。攻擊者提取了約4000 枚ETH 和200 萬USDC,價值約1200 萬美元,這是單筆交易提款中可以從橋中提取的最大ETH 和USDC 金額,橋接限額是提高大額資金提款安全性的重要保障,並有效防止了此漏洞造成的進一步損害。
Ronin 稱,由於橋樑升級在經過治理流程部署後,引入了一個問題,導致跨鏈橋誤解了提取資金所需的橋接運營商投票門檻。目前正在努力尋找根本原因的解決方案,橋接更新將接受嚴格審核,然後由橋接營運商投票決定是否部署。目前正在與這些看似白帽駭客的行為者進行談判,他們已經做出了善意回應,無論談判結果如何,所有用戶資金都是安全的,任何短缺資金都將在橋樑開放時重新存入,將在下週分享事後分析結果,其中介紹技術細節和計劃措施,以防止將來發生類似事件。
漏洞原因:Ronin Bridge 漏洞系權重修改為意外值,資金無需多簽同意即可提取
在被竊事件發生後,根據Beosin 安全團隊分析,此異常行為的根本原因在於專案方升級合約時,未正常初始化配置跨鏈交易確認所需的operator 權重,導致合約中的minimumVoteWeight 參數為零,從而使得任何人的簽名都能通過跨鏈驗證。目前,Ronin bridge 已流失3996 枚ETH,資金存放在0xc6aec68dd6272efcbc74fb5308fe7f070437465e(該地址是MEV bot,故推測可能是白帽行為)。
Ronin bridge漏洞分析
不幸中的萬幸,這次 Ronin 上的黑客攻擊確實是白帽黑客,根據Ronin 在X 平台發布的相關信息,白帽黑客已歸還約1000 萬美元的ETH 以及200 萬枚USDC,並且表示漏洞賞金計劃將獎勵白帽50 萬美元的賞金。同時,Ronin 橋接在重新開放前將接受審計,並將在審計進度時提供最新消息。
確保資金安全始終是首要任務
Ronin 這次的竊盜事件在社群中引發了強烈的負面情緒,原因在於Ronin 鏈之前已多次遭遇駭客攻擊,進一步加劇了大家對安全問題的敏感和恐慌。幸運的是,這起事件僅涉及白帽駭客的攻擊,而Ronin 鏈上的用戶資金是安全的。
然而,根據區塊鏈情報公司TRM Labs 最近發布的報告, 2024 年上半年駭客竊取的加密貨幣(以美元價值計算)是2023 年上半年的兩倍多。數據顯示,截至今年6 月24 日,加密貨幣竊盜總額達13.8 億美元,而2023 年同期為6.57 億美元。今年迄今的五起最大駭客事件佔被盜總金額的70% 。可以看出,隨著Web3 產業的快速發展,被盜金額顯著增加。因此,無論是使用者或專案方,確保資金安全始終是首要任務。對於專案方來說,一次被盜就會導致大量真實用戶流失;而對於用戶而言,一次被盜可能意味著「一年白幹」。
