Ronin Bridge被盜1200萬美元,是小BUG還是大麻煩?

2024-08-07 16:08:05

@OdailyChina

@Asher_ 0210

昨日(8 月 6 日)下午,據派盾監測,遊戲區塊鏈 Ronin 疑似被黑客攻擊,被盜約 4000 枚 ETH 和 200 萬 USDC,價值約 1200 萬美元。

 

被盜 4000 枚 ETH

被盜約 200 萬枚 USDC

Ronin 竟然又被盜了? 各個社區第一時間的反應更多是不敢相信,“大家都在期待 Ronin 生態再次上线像 Pixels 這樣的爆款遊戲,怎么會在這個時候發生盜竊事件?”更有人开玩笑說:“是不是可以趁機低價买入,畢竟他們不太可能在一年內遭遇兩次攻擊吧!”

 

被盜事件在社區中迅速傳播後,RON 的價格在原本下跌的趨勢中進一步下滑,最低跌至 1.25 美元,短時間內跌幅超 8%。

圖源: coingecko

團隊第一時間回應:Ronin Bridge 已暫時停用,後續發布更多信息

針對社區關心的 Ronin Bridge 被攻擊一事,Ronin COO Psycheout 第一時間在 X 平臺發文表示,當我們調查白帽黑客關於潛在 MEV 漏洞的報告時,Ronin Network 橋已暫停。團隊將很快發布更多信息,並且強調 Ronin 橋目前安全保障了超過 8.5 億美元的資金。

Ronin COO 對被盜事件的回應

同時,Ronin 也在 X 平臺發文表示,今天早些時候, 白帽通知 Ronin 可能存在漏洞。 在核實報告後,Ronin 橋在發現第一個鏈上操作後約 40 分鐘暫停。攻擊者提取了約 4000 枚 ETH 和 200 萬 USDC,價值約 1200 萬美元,這是單筆交易提款中可以從橋中提取的最大 ETH 和 USDC 金額,橋接限額是提高大額資金提款安全性的重要保障,並有效防止了此漏洞造成的進一步損害。

Ronin 稱,由於橋梁升級在經過治理流程部署後,引入了一個問題,導致 跨鏈橋誤解了提取資金所需的橋接運營商投票門檻。 目前正在努力尋找根本原因的解決方案,橋接更新將接受嚴格審核,然後由橋接運營商投票決定是否部署。目前正在與這些看似白帽黑客的行為者進行談判,他們已經做出了善意回應,無論談判結果如何,所有用戶資金都是安全的,任何短缺資金都將在橋梁开放時重新存入,將在下周分享事後分析結果,其中介紹技術細節和計劃措施,以防止將來發生類似事件。

漏洞原因:Ronin Bridge 漏洞系權重被修改為意外值,資金無需多籤同意即可提取

在被盜事件發生後, 據 Beosin 安全團隊分析,此次異常行為的根本原因在於項目方升級合約時,未正常初始化配置跨鏈交易確認所需的 operator 權重,導致合約中的 minimumVoteWeight 參數為零,從而使得任何人的籤名都能通過跨鏈驗證。目前,Ronin bridge 已經流失 3996 枚 ETH,資金存放在 0xc6aec68dd6272efcbc74fb5308fe7f070437465e(該地址是 MEV bot,故推測可能是白帽行為)。

 

Ronin bridge 漏洞分析

不幸中的萬幸,這次 Ronin 上的黑客攻擊確實是白帽黑客,根據 Ronin 在 X 平臺發布的相關信息, 白帽黑客已歸還約 1000 萬美元的 ETH 以及 200 萬枚 USDC,並且表示漏洞賞金計劃將獎勵白帽 50 萬美元的賞金。 同時,Ronin 橋接在重新开放前將接受審計,並且會在審計進展時提供最新消息。

確保資金安全始終是首要任務

 

Ronin 這次的盜竊事件在社區中引發了強烈的負面情緒,原因在於 Ronin 鏈之前已多次遭遇黑客攻擊,進一步加劇了大家對安全問題的敏感和恐慌。幸運的是,此次事件僅涉及白帽黑客的攻擊,並且 Ronin 鏈上的用戶資金是安全的。

然而,根據區塊鏈情報公司 TRM Labs 最近發布的報告, 2024 年上半年黑客竊取的加密貨幣(按美元價值計算)是 2023 年上半年的兩倍多。數據顯示,截至今年 6 月 24 日,加密貨幣盜竊總額達 13.8 億美元,而 2023 年同期為 6.57 億美元。今年迄今為止的五起最大黑客事件佔被盜總金額的 70% 。可以看出,隨着 Web3 行業的快速發展,被盜金額顯著增加。因此,無論是用戶還是項目方,確保資金安全始終是首要任務。 對於項目方來說,一次被盜就會導致大量真實用戶流失;而對於用戶而言,一次被盜可能意味着“一年白幹”。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

Uniswap公告Unichain主網明年初上線!首測路線圖兩功能,UNI強彈17%

去 中心化交易所(DEX)龍頭 Uniswap 於 10 月宣佈推出專為 DeFi 設計的 Lay...

DaFi Weaver
7 15小時前

下周必關注|LayerZero決定是否开啓“費用开關”;Aligned空投注冊結束(12.23-12.29)

下周重點預告 12 月 23 日 Aligned 將向 891322 個地址空投 26% 的 AL...

星球日報
8 15小時前

一周代幣解鎖:下周無高比例或金額重大的代幣解鎖

下周,共有 8 個項目解鎖,其中沒有重大解鎖,MOCA 解鎖流通量的 2.9% 。 Metars...

星球日報
7 15小時前

空投周報 | OpenSea基金會官推上线;Azuki、Doodles疑似即將發幣(12.16-12.22)

@OdailyChina @web3_golem Odaily星球日報盤點了 12 月 16 日至...

星球日報
8 15小時前

區塊鏈的達摩克裏斯之劍:一文讀懂谷歌新量子芯片對區塊鏈的影響

前言:谷歌推出了量子芯片 Willow 可以在 5 分鐘之內便完成了當今最快的超級計算機都需要 1...

星球日報
7 15小時前

資金費率的演變:從2021年黃金時代,到2024-2025年套利復興

資金費率起源 資金費率起源於加密貨幣衍生品市場,特別是從永續期貨合約中發展而來。它作為一種機制,用...

Block Beats
8 1天前