Ronin Bridge被盜1200萬美元，是小BUG還是大麻煩？

2024-08-07 16:08:05

@OdailyChina

@Asher_ 0210

昨日（8 月 6 日）下午，據派盾監測，遊戲區塊鏈 Ronin 疑似被黑客攻擊，被盜約 4000 枚 ETH 和 200 萬 USDC，價值約 1200 萬美元。

被盜 4000 枚 ETH

被盜約 200 萬枚 USDC

Ronin 竟然又被盜了？ 各個社區第一時間的反應更多是不敢相信，“大家都在期待 Ronin 生態再次上线像 Pixels 這樣的爆款遊戲，怎么會在這個時候發生盜竊事件？”更有人开玩笑說：“是不是可以趁機低價买入，畢竟他們不太可能在一年內遭遇兩次攻擊吧！”

被盜事件在社區中迅速傳播後，RON 的價格在原本下跌的趨勢中進一步下滑，最低跌至 1.25 美元，短時間內跌幅超 8%。

圖源： coingecko

團隊第一時間回應：Ronin Bridge 已暫時停用，後續發布更多信息

針對社區關心的 Ronin Bridge 被攻擊一事，Ronin COO Psycheout 第一時間在 X 平臺發文表示，當我們調查白帽黑客關於潛在 MEV 漏洞的報告時，Ronin Network 橋已暫停。團隊將很快發布更多信息，並且強調 Ronin 橋目前安全保障了超過 8.5 億美元的資金。

Ronin COO 對被盜事件的回應

同時，Ronin 也在 X 平臺發文表示，今天早些時候， 白帽通知 Ronin 可能存在漏洞。 在核實報告後，Ronin 橋在發現第一個鏈上操作後約 40 分鐘暫停。攻擊者提取了約 4000 枚 ETH 和 200 萬 USDC，價值約 1200 萬美元，這是單筆交易提款中可以從橋中提取的最大 ETH 和 USDC 金額，橋接限額是提高大額資金提款安全性的重要保障，並有效防止了此漏洞造成的進一步損害。

Ronin 稱，由於橋梁升級在經過治理流程部署後，引入了一個問題，導致 跨鏈橋誤解了提取資金所需的橋接運營商投票門檻。 目前正在努力尋找根本原因的解決方案，橋接更新將接受嚴格審核，然後由橋接運營商投票決定是否部署。目前正在與這些看似白帽黑客的行為者進行談判，他們已經做出了善意回應，無論談判結果如何，所有用戶資金都是安全的，任何短缺資金都將在橋梁开放時重新存入，將在下周分享事後分析結果，其中介紹技術細節和計劃措施，以防止將來發生類似事件。

漏洞原因：Ronin Bridge 漏洞系權重被修改為意外值，資金無需多籤同意即可提取

在被盜事件發生後，據 Beosin 安全團隊分析，此次異常行為的根本原因在於項目方升級合約時，未正常初始化配置跨鏈交易確認所需的 operator 權重，導致合約中的 minimumVoteWeight 參數為零，從而使得任何人的籤名都能通過跨鏈驗證。目前，Ronin bridge 已經流失 3996 枚 ETH，資金存放在 0xc6aec68dd6272efcbc74fb5308fe7f070437465e（該地址是 MEV bot，故推測可能是白帽行為）。

Ronin bridge 漏洞分析

不幸中的萬幸，這次 Ronin 上的黑客攻擊確實是白帽黑客，根據 Ronin 在 X 平臺發布的相關信息， 白帽黑客已歸還約 1000 萬美元的 ETH 以及 200 萬枚 USDC，並且表示漏洞賞金計劃將獎勵白帽 50 萬美元的賞金。 同時，Ronin 橋接在重新开放前將接受審計，並且會在審計進展時提供最新消息。

確保資金安全始終是首要任務

Ronin 這次的盜竊事件在社區中引發了強烈的負面情緒，原因在於 Ronin 鏈之前已多次遭遇黑客攻擊，進一步加劇了大家對安全問題的敏感和恐慌。幸運的是，此次事件僅涉及白帽黑客的攻擊，並且 Ronin 鏈上的用戶資金是安全的。

然而，根據區塊鏈情報公司 TRM Labs 最近發布的報告， 2024 年上半年黑客竊取的加密貨幣（按美元價值計算）是 2023 年上半年的兩倍多。數據顯示，截至今年 6 月 24 日，加密貨幣盜竊總額達 13.8 億美元，而 2023 年同期為 6.57 億美元。今年迄今為止的五起最大黑客事件佔被盜總金額的 70% 。可以看出，隨着 Web3 行業的快速發展，被盜金額顯著增加。因此，無論是用戶還是項目方，確保資金安全始終是首要任務。 對於項目方來說，一次被盜就會導致大量真實用戶流失；而對於用戶而言，一次被盜可能意味着“一年白幹”。