前言
Ronin是新加坡游戲工作室SkyMavis開發的,是為支持游戲AxieInfinity而構建的以太坊側鏈,使得用戶能夠自由地將資產轉移到其他鏈上。
北京時間2022年3月29日,RoninNetwork官方發布聲明稱RoninBridge遭到入侵,損失了173600枚ETH和價值2550萬美元的USDC。
知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件。
Alchemix:用戶現可鑄造Alchemix Patron NFT:10月5日消息,DeFi借貸協議Alchemix發推稱,Alchemix Patron NFT現可以鑄造,它包含用戶向Alchemix DAO treasury發送了多少ETH或alETH的元數據。[2021/10/5 17:25:15]
波場TRON單日合約調用突破160萬次:根據TRONSCAN波場區塊鏈瀏覽器最新數據顯示,11月10日波場TRON單日合約調用數達到1,627,657,突破160萬次,較11月3日合約調用數264,530高出6倍之多。目前,波場TRON合約調用總數達到1,098,371,072 ,已突破10.9億次。近來,波場TRON各項數據一直穩中前進,波場生態逐步強大的同時,也將迎來更多交易量。[2020/11/11 12:21:04]
基礎信息
HackerOne與區塊鏈投票應用Voatz斷絕合作關系:Bug懸賞平臺HackerOne宣布與Medici Ventures投資的區塊鏈移動投票應用Voatz斷絕關系,因后者違反了合作標準。HackerOne代表Samantha Spielman稱,Voatz違反了“合作標準”,這使得合作關系無法維持,但其拒絕說明詳細說明Voatz違反了什么標準。但Spielman強調,在過去八年的1800次合作中,Voatz從未單方面踢出任何合作伙伴。(CoinDesk)[2020/3/31]
攻擊者地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96
tx1:0xc28fad5e8d5e0ce6a2eaf67b6687be5d58113e16be590824d6cfa1a94467d0b7
tx2:0xed2c72ef1a552ddaec6dd1f5cddf0b59a8f37f82bdda5257d9c7c37db7bb9b08
事件概述
據目前官方發出的聲明稱,攻擊者使用被黑客入侵的私鑰來偽造虛假的提款。直到29日早上,一名用戶無法從橋上提取5kETH而向Ronin官方報告之后,才發現了這次攻擊。目前Ronin橋和KatanaDex已經停止,官方也將驗證器閾值從5個提高到了8個。
Ronin鏈目前由9個驗證器節點組成。為了識別存款事件或提款事件,需要九個驗證者簽名中的五個。攻擊者設法控制了SkyMavis的四個Ronin驗證器和由AxieDAO運行的第三方驗證器。驗證器密鑰方案是分散設置的,以此來限制類似于此次的攻擊,但攻擊者發現了Ronin的無GasRPC節點的后門,從而獲取了AxieDAO驗證器的簽名。
此次事件由來可以追溯到2021年11月,當時AxieDAO驗證器被允許分發免費交易。這已于2021年12月停止,但AxieDAO驗證器IP仍在允許列表中。一旦攻擊者訪問了SkyMavis系統,便能夠通過無GasRPC從AxieDAO驗證器獲得簽名。
目前Ronin官方已經確認惡意提款中的簽名與五個可疑的驗證者相匹配。
總結
本次攻擊事件核心是私鑰泄露而導致的,雖然官方宣稱私鑰泄露是因為社會工程,但官方在攻擊發生一周后才公開此次事件,理由難免有些牽強,很難不使人猜想項目人員監守自盜的可能。
在此提醒項目方發布項目后一定要將私鑰嚴密保管,謹防網絡釣魚,另外,近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
超6億美金加密貨幣被盜 3月29日,區塊鏈項目平臺Ronin宣布被黑,約超6億美元的加密貨幣被盜.
1900/1/1 0:00:00薩爾瓦多總統:比特幣火山債券將通過Bitfinex發行據路透社報道,薩爾瓦多正在尋求加密貨幣交易平臺Binance的支持,以完善比特幣作為法定貨幣并發行比特幣債券.
1900/1/1 0:00:00倫敦,2022年2月2日——Qredo與Clearpool合作,使機構能夠安全地訪問數字資產和DeFi.
1900/1/1 0:00:00MantaNetwork與Axelar近期宣布了跨鏈合作,MantaNetwork將通過Axelar跨鏈橋為其Layer1隱私網絡引入更多生態資產.
1900/1/1 0:00:00北京時間2022年4月28日10:40:14,CertiK審計團隊監測到DEUSFinance的合約被惡意攻擊,造成了約1570萬美元的損失.
1900/1/1 0:00:00本期內容腦圖: 今天的話題是:AC為何退圈? 為啥要研究這個呢? 因為理解了AC為何退圈,你就理解DeFi從1.0到2.0的發展,還有DeFi的創新之難.
1900/1/1 0:00:00