Ronin Bridge被盜1200萬美元,是小BUG還是大麻煩?

2024-08-07 16:08:05

@OdailyChina

@Asher_ 0210

昨日(8 月 6 日)下午,據派盾監測,遊戲區塊鏈 Ronin 疑似被黑客攻擊,被盜約 4000 枚 ETH 和 200 萬 USDC,價值約 1200 萬美元。

 

被盜 4000 枚 ETH

被盜約 200 萬枚 USDC

Ronin 竟然又被盜了? 各個社區第一時間的反應更多是不敢相信,“大家都在期待 Ronin 生態再次上线像 Pixels 這樣的爆款遊戲,怎么會在這個時候發生盜竊事件?”更有人开玩笑說:“是不是可以趁機低價买入,畢竟他們不太可能在一年內遭遇兩次攻擊吧!”

 

被盜事件在社區中迅速傳播後,RON 的價格在原本下跌的趨勢中進一步下滑,最低跌至 1.25 美元,短時間內跌幅超 8%。

圖源: coingecko

團隊第一時間回應:Ronin Bridge 已暫時停用,後續發布更多信息

針對社區關心的 Ronin Bridge 被攻擊一事,Ronin COO Psycheout 第一時間在 X 平臺發文表示,當我們調查白帽黑客關於潛在 MEV 漏洞的報告時,Ronin Network 橋已暫停。團隊將很快發布更多信息,並且強調 Ronin 橋目前安全保障了超過 8.5 億美元的資金。

Ronin COO 對被盜事件的回應

同時,Ronin 也在 X 平臺發文表示,今天早些時候, 白帽通知 Ronin 可能存在漏洞。 在核實報告後,Ronin 橋在發現第一個鏈上操作後約 40 分鐘暫停。攻擊者提取了約 4000 枚 ETH 和 200 萬 USDC,價值約 1200 萬美元,這是單筆交易提款中可以從橋中提取的最大 ETH 和 USDC 金額,橋接限額是提高大額資金提款安全性的重要保障,並有效防止了此漏洞造成的進一步損害。

Ronin 稱,由於橋梁升級在經過治理流程部署後,引入了一個問題,導致 跨鏈橋誤解了提取資金所需的橋接運營商投票門檻。 目前正在努力尋找根本原因的解決方案,橋接更新將接受嚴格審核,然後由橋接運營商投票決定是否部署。目前正在與這些看似白帽黑客的行為者進行談判,他們已經做出了善意回應,無論談判結果如何,所有用戶資金都是安全的,任何短缺資金都將在橋梁开放時重新存入,將在下周分享事後分析結果,其中介紹技術細節和計劃措施,以防止將來發生類似事件。

漏洞原因:Ronin Bridge 漏洞系權重被修改為意外值,資金無需多籤同意即可提取

在被盜事件發生後, 據 Beosin 安全團隊分析,此次異常行為的根本原因在於項目方升級合約時,未正常初始化配置跨鏈交易確認所需的 operator 權重,導致合約中的 minimumVoteWeight 參數為零,從而使得任何人的籤名都能通過跨鏈驗證。目前,Ronin bridge 已經流失 3996 枚 ETH,資金存放在 0xc6aec68dd6272efcbc74fb5308fe7f070437465e(該地址是 MEV bot,故推測可能是白帽行為)。

 

Ronin bridge 漏洞分析

不幸中的萬幸,這次 Ronin 上的黑客攻擊確實是白帽黑客,根據 Ronin 在 X 平臺發布的相關信息, 白帽黑客已歸還約 1000 萬美元的 ETH 以及 200 萬枚 USDC,並且表示漏洞賞金計劃將獎勵白帽 50 萬美元的賞金。 同時,Ronin 橋接在重新开放前將接受審計,並且會在審計進展時提供最新消息。

確保資金安全始終是首要任務

 

Ronin 這次的盜竊事件在社區中引發了強烈的負面情緒,原因在於 Ronin 鏈之前已多次遭遇黑客攻擊,進一步加劇了大家對安全問題的敏感和恐慌。幸運的是,此次事件僅涉及白帽黑客的攻擊,並且 Ronin 鏈上的用戶資金是安全的。

然而,根據區塊鏈情報公司 TRM Labs 最近發布的報告, 2024 年上半年黑客竊取的加密貨幣(按美元價值計算)是 2023 年上半年的兩倍多。數據顯示,截至今年 6 月 24 日,加密貨幣盜竊總額達 13.8 億美元,而 2023 年同期為 6.57 億美元。今年迄今為止的五起最大黑客事件佔被盜總金額的 70% 。可以看出,隨着 Web3 行業的快速發展,被盜金額顯著增加。因此,無論是用戶還是項目方,確保資金安全始終是首要任務。 對於項目方來說,一次被盜就會導致大量真實用戶流失;而對於用戶而言,一次被盜可能意味着“一年白幹”。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

Lumoz开放esMOZ空投查詢並公布空投規則

Lumoz 空投正式來臨。 在過去兩年中,社區與 Lumoz 攜手度過了多個重要階段: Pre-A...

星球日報
7 7小時前

Solana基金會Matt Sorg&OKX Web3:Solana帶來巨大創新|开發者物語04

Solana 網絡以及其生態交易工具,成為推動本輪「Memecoin 超級周期」的重要基礎。Sol...

星球日報
6 7小時前

美國大選,加密行業的命運分叉口

無論下周的總統大選結果如何,SEC 很可能會迎來新主席。傳統上,SEC 主席通常會在新總統上任時辭...

星球日報
6 7小時前

揭祕Scam-as-a-Service:警惕釣魚攻擊的產業化

2024年6月开始,CertiK安全團隊監控到大量相似的phishing/drainer tran...

CertiK
6 7小時前

專訪頂級交易員Nachi:大選前夜,Binance排名前10的交易大師如何看待加密後市?

許多人渴望成為職業交易員,然而大多數交易者往往因交易心態失控、倉位管理不當而最終滿盤皆輸。在盈虧不...

律動BlockBeats
5 7小時前

Meme熱潮,VC的新战場,機遇還是陷阱?

TL;DR 1、Meme 經歷了 2013 年至 2019 年的緩慢萌芽階段,隨後 2020 年至...

星球日報
6 7小時前