為何黑客鐘情Ronin?三次攻擊背後的隱患
原文編輯:Marco,ChainCatcher
截至 8 月 12 日,再次被黑客攻擊的 Ronin 跨鏈橋並未對用戶重新开放,頁面還依舊停留在維護狀態中。
就在社區用戶都在期待 Ronin 生態能再推出一款和Web3農場遊戲 Pixels 一樣的爆款產品時, Ronin 跨鏈橋再次被黑客攻擊了,這次被盜的資產價值約 1200 萬美元。
迄今為止,Ronin 已經發生了三次安全攻擊事件,如果說兩年前(2022 年)Ronin 跨鏈橋被黑客卷走的 6.24 億美元是意外,今年 2 月 Ronin 傳出被盜被證實是“黑客烏龍”,那么 8 月 6 日的 Ronin 跨鏈橋再次被黑客攻擊似乎是在意料之中。
早在 2 月 Ronin 聯創錢包資產被盜時,就被社區用戶調侃,Ronin 不會還有第三次被攻擊了吧?,然而在上次安全事件過去在不到半年的時間內,Ronin 還真被黑客再次攻擊了。
一個加密項目一而再、再而三的發生安全事件,對於社區用戶來說,加密項目的安全信譽已流失。
第三次攻擊被盜的 1200 萬美元已歸還
8 月 6 日晚,據 PeckShieldAlert 監測,Ronin 鏈疑似再次被黑客攻擊,約 4000 枚 ETH 和 200 萬 USDC 被轉移,損失近 1200 萬美元。
對於這次突發的安全事故,Ronin 聯合創始人兼首席運營官@Psycheout 在第一時間發文回復到,Ronin 橋已被暫停,正在調查白帽黑客((指站在黑客的立場攻擊系統以進行安全漏洞排查的程序員)發現的關於 MEV 漏洞情況。目前,橋上托管的 8.5 億美元資金是安全的。
隨後,Ronin 官方也在社交媒體發文表示,當天早些時候,白帽已通知 Ronin 橋存在一個潛在漏洞,在核實報告後,並在發現鏈上異常操作後約 40 分鐘就暫停了 Ronin 橋。
本次攻擊者轉移了約 4000 枚 ETH 和 200 萬 USDC,價值約 1200 萬美元,這也是單筆交易中可以從 Ronin 橋中提取的最大 ETH 和 USDC 金額,先前設置的橋接器提款金額的限制有效防止了漏洞造成更大的傷害。
針對本次黑客安全攻擊,Ronin 表示,今日跨鏈橋合約升級後在治理過程流程部署中引入了一個問題,導致跨鏈橋誤解了提取資金所需的運營商投票門檻。
Ronin 稱,本次攻擊行為更像是白帽黑客,已與其進行談判,他們已經做出了善意回應,無論談判結果如何,所有用戶資金都是安全的,任何短缺資金都將在橋梁开放時重新存入。
根據 Beosin 安全團隊對於本次安全事件梳理分析,Ronin 此次異常行為的根本原因在於項目方升級合約時,未正常初始化配置跨鏈交易確認所需的運營商權重,從而使得任何人的籤名都能通過跨鏈驗證,以被黑客乘機攻擊。
最終,Ronin 本次安全事件以“黑客歸還了盜取的價值 1200 萬美元資產”結束了風波。
在 8 月 7 日發布的最新公告中,Ronin 表示, 8 月 6 日 Ronin 上發生的黑客攻擊確實是白帽黑客所為,白帽黑客最終歸還了轉走的約 4000 枚 ETH 以及 200 萬枚 USDC,並且表示將獎勵白帽黑客 50 萬美元的賞金。
與此同時,Ronin 橋接在重新开放前將接受審計,並將與 Ronin 驗證者推出新的解決方案,以改變跨鏈橋當前的運營方式。
截至 8 月 12 日,Ronin 跨鏈橋還未對用戶重新开放,網絡上鎖倉的加密資產價值 7.5 億美元,RON 價格現報為 1.44 美元。
盡管 Ronin 本次攻擊是白帽黑客所為,並最終歸還了所盜取的資金,看似完美地解決了此次安全危機,但社區用戶並不买账。
社區用戶@Futuresight 質疑到,按照 Ronin 官方說法是白帽黑客在測試,但白帽黑客一般會提前告訴項目方漏洞信息,而不會直接將其資產偷走。
加密 KOL@陳劍 Jason 則在社交媒體發文表示,就在 Ronin 就在“被黑”利空消息發出來後,RON 代幣的價格反而還向上扎了一根針把开了高倍空單的都帶走了。
讓社區用戶不得不懷疑,有沒有可能是項目方監守自盜,操縱幣價。
曾經參與 Ronin 網絡質押的 Celi 則對 ChainCatcher 表示,即使本次是白帽黑客所為,但這樣的行為已對 Ronin 造成了巨大的聲譽損失,用戶對其的安全信任再次減弱。
她解釋道,智能合約升級尤其是跨鏈橋升級,在上线前都需進行徹底檢查,項目方不能有任何僥幸心理,拿這么多的資金去玩冒險遊戲,好在本次 Ronin 的損失得到了控制,不然項目的損失會更大。
接連三次被黑客攻擊,Ronin 安全信譽已流失
在加密領域,黑客攻擊事件常有發生,即使損失上千萬美元也並不奇怪,根據安全審計公司 Beosin 發布的最新數據顯示, 7 月Web3生態因黑客攻擊等造成的總損失金額達 2.86 億美元,如跨鏈交易聚合器 LI.FI 就因合約漏洞損失約 1160 萬美元等。
對於 Ronin 的本次黑客攻擊,加密社區用戶似乎早已在意料之中,早在今年 2 月 Ronin 被傳安全攻擊時,社區用戶就調侃道,不會還有第三次攻擊吧?因此,對於本次安全事件用戶更多是感嘆道,接連被黑客三次攻擊,在加密領域,Ronin 還是第一人。
2022 年 3 月,Ronin 網絡成為加密領域最大規模黑客攻擊的焦點,黑客成功控制了 Ronin 網絡九名驗證者中的五名,並卷走了價值 6.24 億美元的 ETH 和 USDC,一度成為加密史上涉及數額最多的 DeFi 黑客攻擊事件,也是鏈遊領域發生的最嚴重的一次安全事件。更離譜的是,資金被盜 6 日後,並經社區提醒,Ronin 官方才注意到該漏洞。
經過此次危機後,Ronin 網絡長期處於低迷狀態,代幣 RON 也一直維持在 1 美元以下,直到今年 2 月Web3農場遊戲 Pixel 代幣 PIXEL 在幣安上线,並向 Ronin 網絡質押用戶空投代幣等多種利好,Ronin 網絡才重新獲得了加密社區用戶關注。
然而就在生態爆款項目 Pixel 剛掃除 Ronin 被盜的陰霾時,Ronin 網絡再次被傳出又被黑客攻擊了。
2 月,Web3安全團隊 Ancilia.nc 在社交媒體表示,監測到價值約 1000 萬美元的 RON 被短時間內從 Ronin 橋中提取並存入 Tornado。
很快,Ronin 聯創 Psycheout 回復表示,Ronin 和跨鏈橋都沒有問題,這只是一個鯨魚錢包被盜,並通過 Tornado Cash 混走,而這位被盜的鯨魚竟是 Axie Infinity 和 Ronin Network 的聯合創始人 Jihoz。
盡管 Jihoz 發文表示,僅是個人地址遭到安全攻擊,與 Ronin 鏈的驗證或運營活動無關,是一場黑客烏龍事件,但依舊在社區用戶心中留下了 Ronin 二次被黑客攻擊的印記。加上這次又是因為跨鏈橋升級出現漏洞,再次被黑客攻擊,雖然危機最終被解除,但是用戶對 Ronin 的信任已完全被流失,每次提及 Ronin,映入腦海的第一個關鍵詞就是容易被盜。
所以當 8 月 6 日,Ronin 第三次被黑客攻擊時,用戶更多的是感嘆,本來就有被盜 PTSD 影響,還真的又被攻擊了?過去被黑,現在又被攻擊,那是不是還會有下次被盜?
更有社區用戶發出質疑,一個跨鏈橋,三天兩頭被攻擊,到底是安全技術不行還是團隊技術不行?
但加密用戶 Lisa 則持不同的看法,她認為,Ronin 橋被盜是因為橋梁鎖定或托管了大量用戶的資產,是黑客最喜歡的攻擊目標。解釋道,歷史上五次最大的加密貨幣黑客攻擊中有三次與跨鏈橋有關,除了 Ronin 橋被盜外,還有 2022 年 BNB 橋被利用竊取了約 5.86 億美元,同年 2 月 Wormhole 橋也遭遇漏洞攻擊,損失 3.26 億美元。
截至 8 月 12 日,Ronin 網絡驗證節點已從當初的 9 個增加至 21 個,並限制了跨鏈橋每筆資金的轉账限額,如今網絡上質押的 RON 數量已有 2.08 以枚,。
Ronin 鏈上遊戲生態依舊可期
根據 Token Terminal 數據顯示,近期 Ronin 鏈上日活在所有公鏈網絡中排名第一,已經超過 Tron 和 Solana,每日活躍用戶數已突破 200 萬。其中, 8 月 1 日,Ronin 鏈上日活躍錢包達 230 萬個,日交易量達 350 萬筆,創下歷史新高。
曾在 DeFiance Capital 任職、現負責 Ronin 生態的@Bailey.ron 表示,Ronin 是為數不多的致力於並實現真正消費者採用的加密項目之一。
除了鏈上用戶數據表現優異外,Ronin 生態內上线多個知名遊戲。
除經典的 Axie Infinity 和 Pixels 外,還有農場生存遊戲 Lumiterra、英雄射擊遊戲 The Machines Arena、機甲射擊遊戲 Kaidro、策略遊戲 Wild Forest、角色扮演遊戲 Runiverse、卡牌對決鏈遊 Apeiron 等。
且越多越多的遊戲選擇遷移至 Ronin,如 Runiverse 就是 7 月宣布遷移至 Ronin 網絡的,而 Kaidro 原本是基於在 Immutable 的遊戲、Pixels 也是從 Polygon 遷移過來的。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
動區週報:比特幣新高後回落、鮑爾不急降息 市場情緒轉變、迷因幣火熱…
本週(11/10-11/16)重要大事速覽 比特幣動態 :鮑爾放鷹「 不急降息 」,比特幣價格一度...
Hack VC:模塊化是個錯誤嗎?以數據為依據審視以太坊的這一战略
撰文:Alex Pack 及 Alex Botte,Hack VC 合夥人 編譯:Yangz,Te...
除了 TON, 哪些公鏈在爭奪 Telegram 用戶?數據表現如何?
作者:Stella L ( [email protected] ) 在 2024 年...
星球日報
文章數量
7106粉絲數
0