后知后覺金錢消失術
在加密世界中,私鑰管理和保持私鑰安全性,一直是個重要的話題。
近日,當下最流行的NFT游戲AxieInfinity側鏈RoninNetwork受到黑客攻擊,造成價值約6.1億美金的加密貨幣被盜。其中攻擊者竊取了17.36萬枚ETH以及2550萬枚USDC。
值得一提的是,該攻擊于3月23日就已發生,但是5天后才因用戶報告無法提取5000ETH而發現該攻擊。
Alpha Homora向Iron Bank提出壞賬解決方案,要求Iron Bank退回部分用戶資金:金色財經報道,Alpha Homora 給以太坊上借貸平臺 Iron Bank 發布第三封公開信,此前 Iron Bank 因壞賬糾紛于 3 月 1 日凍結了 Alpha Homora 的貸款賬戶,Alpha Homora 認為沒收用戶的資金不是解決方案,并公開提出了壞賬解決方案:1. Iron Bank 退回不在以太坊上的客戶資金;2. 在以太坊上的約 4100 萬美元中,Iron Bank 將向用戶轉賬約 1100 萬美元。約 1100 萬美元代表用戶存款凈壞賬金額,不包括應計利息。3. 對于剩余的約 3000 萬美元,將在 Iron Bank 同意上述解決方案后的 1 周內向社區分享如何處理的詳細信息。
此前報道,3 月 3 日,DeFi 借貸平臺 Iron Bank 敦促 Alpha Homora 償還壞賬。Iron Bank 表示,Alpha Homora 需要為損失承擔責任,即 Alpha Homora 于 2021 年 2 月因被惡意攻擊而產生的 3000 萬美元的壞賬。[2023/3/5 12:43:35]
AxieInfinity是一款類似口袋妖怪的游戲,玩家可以在游戲中賺取加密貨幣;RoninNetwork則是為了實現高TransactionsPerSecond(TPS)并且讓用戶有更流暢游戲體驗而開發的側鏈;RoninBridge協助將加密貨幣轉入和轉出RoninNetwork;它們同屬SkyMavis運營。
Elrond宣布其開發的去中心化交易所Maiar正式上線并推出12.9億美元流動性激勵計劃:11月22日消息,公鏈Elrond宣布其開發的基于AMM的去中心化交易所MaiarExchange正式上線,并推出12.9億美元流動性激勵計劃。Elrond Network首月將分配2800萬美元(以Maiar Exchange治理代幣MEX的形式)給在Maiar Exchange上提供EGLD、MEX和USDC流動性的用戶,該網絡計劃首月后在Uniswap、PancakeSwap、SushiSwap推出流動性激勵計劃。Elrond是一個采用PoS共識機制和自適應分片技術的公鏈,理論吞吐量可達1萬TPS。[2021/11/22 22:08:13]
驗證節點失守
動態 | ETH/TRON DApp?單個用戶平均周交易額均有所增長:據RatingDApp和RatingToken大數據監測顯示,最近一周EOS/ETH/TRON三大主流公鏈平臺DApps活躍用戶分別為EOS(145901)>TRON(109079)>ETH(63487), 交易額TRON($102638943.62)>EOS($93158938.56)>ETH($60355628.25),TRON周交易額超越EOS成為第一。從單個用戶平均周交易額來看,最近一周EOS?DApp為638.51美元,環比上周下降3.81%;ETH DApp為950.68美元,環比上周上升19.18%;TRON DApp為940.96美元,環比上周上升4.43%。[2019/6/24]
為了識別存款及取款事件,Ronin需要驗證九個驗證節點中的五個簽名。而攻擊者黑了4個SkyMavis的私鑰,制造了5個合法的簽名,即:4個SkyMavis驗證器和1個AxieDAO運行的第三方驗證器產生的簽名。
SkyMavis的私鑰被入侵后,攻擊者利用簽名來制造“提款證明”。而在該漏洞發生后,SkyMavis已決定將所需驗證節點簽名增加至8個。
節點驗證雖已去中心化,但黑客卻發現了gas-freeRPC的一個后門。
早在2021年11月的一次AxieDAO活動中,AxieDAO賦予了SkyMavis代表其簽署交易的權限。但該權限后續并未被撤銷。
即:攻擊者一旦獲得了SkyMavis的訪問權限,即可通過gas-freeRPC獲得AxieDAO的簽名。
6億美金“何去何從”
在此,CertiK利用CertiKSkytrace總結了一份資金流動去向圖:
總結及建議
此次事件是由于私鑰管理不善而造成的。
CertiK在此提醒用戶和項目方管理私鑰的重要性。
SkyMavis在項目中應用了多簽來避免單點故障,這是安全方面的一大進步。多簽指的是需要多個密鑰來授權交易,而不是一個密鑰的單一簽名。
然而早期活動期間發放的權限未被撤銷,從而令黑客有機可乘。因此切記在事件或功能完成后撤銷允許列表以及白名單訪問是非常重要的。
本次事件的預警已于第一時間在CertiK官方推特進行了播報。
除此之外,CertiK官網https://www.certik.com/也已添加社群預警功能。在官網上,大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。
參考鏈接:
https://roninblockchain.substack.com/p/community-alert-ronin-validators?s=w
https://rekt.news/ronin-rekt/
MinterestLBP通證活動 如何參加 開創性借貸協議Minterest由行業領導者創建,通過為用戶提供最高的DeFi的長期收益率旨在為數十億TVL提供服務,挑戰現有DeFi項目.
1900/1/1 0:00:00Polkadot生態研究院出品,必屬精品波卡一周觀察,是我們針對波卡整個生態在上一周所發生的事情的一個梳理,同時也會以白話的形式分享一些我們對這些事件的觀察.
1900/1/1 0:00:00“Crema正在接管Solana的流動性空間。”加密KOLCryptoMonarch如此說道,作為僅正式上線2個月的流動性協議,Crema在4月份成為了Solana生態中TVL增速最快的DeFi.
1900/1/1 0:00:002022年2月11日至2月20日,為期10天的ETHDenver會議在美國丹佛市順利落幕。這是目前規模最大、持續時間最長的ETH活動.
1900/1/1 0:00:00在圈里待久了的人都知道,像區塊鏈行業發展日新月異那樣,全球主流數字貨幣排行榜可謂「常看常新」。去年的前十名和今年的前十名可能多半都不一樣,個別熱潮興起的時候,甚至月與月之間的排名,都能“換血”多.
1900/1/1 0:00:00本文由英文版翻譯而來,英文原版點擊這里OrcaforEveryone是由Orca背后團隊提供的進入DeFi世界的指導書,Orca是Solana上最用戶友好的數字貨幣交易所.
1900/1/1 0:00:00