TRO:Ronin Network被黑，一圖詳解6.1億美元“何去何從”

后知后覺金錢消失術

在加密世界中，私鑰管理和保持私鑰安全性，一直是個重要的話題。

近日，當下最流行的NFT游戲AxieInfinity側鏈RoninNetwork受到黑客攻擊，造成價值約6.1億美金的加密貨幣被盜。其中攻擊者竊取了17.36萬枚ETH以及2550萬枚USDC。

值得一提的是，該攻擊于3月23日就已發生，但是5天后才因用戶報告無法提取5000ETH而發現該攻擊。

波場TRON聯合BitTorrent與THUBA DAO達成合作伙伴關系:據最新消息，波場TRON聯合BitTorrent與THUBA DAO達成合作伙伴關系。此番波場TRON與THUBA DAO的合作將有力推動區塊鏈的“產學融合”，加速行業的普及與發展，并為行業注入更多創新活力。

THUBA DAO是由清華大學區塊鏈協會(THUBA)成員所發起的去中心化組織。THUBA DAO致力于將Web3世界帶給每一個學生，成為連接海內外區塊鏈社區的橋梁，并培養最優秀的下一代Web青年與先鋒者。

波場TRON致力于打造下一代全球互聯網及金融基礎設施，目前，波場公鏈用戶總數超過1.56億，交易筆數超54億，總鎖倉量（TVL）超123億美元。 波場網絡于2021年12月實現完全去中心化，現為由社區治理的去中心化自治組織（DAO）。[2023/4/28 14:33:19]

AxieInfinity是一款類似口袋妖怪的游戲，玩家可以在游戲中賺取加密貨幣；RoninNetwork則是為了實現高TransactionsPerSecond(TPS)并且讓用戶有更流暢游戲體驗而開發的側鏈；RoninBridge協助將加密貨幣轉入和轉出RoninNetwork；它們同屬SkyMavis運營。

奢華手表電商平臺Chrono24：加密市場低迷導致勞力士和百達翡麗手表供應量大幅增加:7月31日消息，最近加密資產估值的下降直接影響了勞力士（Rolex）、百達翡麗（Patek Philippe）等奢侈手表的定價，一家上架了數十萬腕表的德國在線平臺注意到了這一點。

據彭博社報道，總部位于德國卡爾斯魯厄的奢華手表電商平臺Chrono24在一份聲明中表示，勞力士迪通拿（Rolex Daytona）和Patek Nautilus（百達翡麗鸚鵡螺）5711A等名表的供應量“現在增加了很多”。它解釋說，加密貨幣的崩潰正在緩解二手市場上最受歡迎手表款式的供應。

報道指出，最受歡迎的手表價格下降表明，二手奢華手表市場開始放緩。在此之前，加密貨幣的價格飆升，催生了一個新的奢侈品買家階層，頂級品牌款式的價格也出現了前所未有的上漲。（Bitcoin.com）[2022/7/31 2:49:31]

驗證節點失守

動態 | 跨ETH/EOS/TRON/IOST四大公鏈，DApp活躍度排行榜:據 DAppTotal 10月28日數據顯示，過去一周，綜合對比ETH、EOS、TRON、IOST四大公鏈的DApp生態情況發現：總用戶量(個): ETH(219,587) > EOS(122,642) > TRON(68,314) > IOST(6,719)；總交易次數(筆)：EOS(31,958,109) > TRON(8,351,402) > ETH(1,055,980) > IOST(654,522)；總交易額(美元)：EOS(184,289,785) > TRON(63,486,721) > ETH(53,691,440) > IOST(2,368,977)；跨四條公鏈按用戶量TOP3 DApps為：Hash Baby(EOS)、Dice(EOS)、DDEX(TRON)；按交易次數TOP3 DApps分別為：Dice(EOS)、WINk(TRON)、Hash Baby(EOS)；按交易額TOP3 DApps分別為：Newdex(EOS)、WINk(TRON)、CDP Portal(ETH)。[2019/10/28]

DAO運行的第三方驗證器產生的簽名。

SkyMavis的私鑰被入侵后，攻擊者利用簽名來制造“提款證明”。而在該漏洞發生后，SkyMavis已決定將所需驗證節點簽名增加至8個。

節點驗證雖已去中心化，但黑客卻發現了gas-freeRPC的一個后門。

早在2021年11月的一次AxieDAO活動中，AxieDAO賦予了SkyMavis代表其簽署交易的權限。但該權限后續并未被撤銷。

即：攻擊者一旦獲得了SkyMavis的訪問權限，即可通過gas-freeRPC獲得AxieDAO的簽名。

在此，CertiK利用CertiKSkytrace總結了一份資金流動去向圖：

總結及建議

此次事件是由于私鑰管理不善而造成的。

SkyMavis在項目中應用了多簽來避免單點故障，這是安全方面的一大進步。多簽指的是需要多個密鑰來授權交易，而不是一個密鑰的單一簽名。

然而早期活動期間發放的權限未被撤銷，從而令黑客有機可乘。因此切記在事件或功能完成后撤銷允許列表以及白名單訪問是非常重要的。

本次事件的預警已于第一時間在CertiK官方推特進行了播報。

除此之外，CertiK官網https://www.certik.com/也已添加社群預警功能。在官網上，大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

參考鏈接：

https://roninblockchain.substack.com/p/community-alert-ronin-validators?s=w?

https://rekt.news/ronin-rekt/

Tags：RONtronTROEOSiron幣有前途嗎tronlink官網版appmetro幣怎么提現EOSC幣

聚幣