火星链 火星链
Ctrl+D收藏火星链
首页 > 聚币 > 正文

AXI:慢雾:损失超6.1亿美元,详解Ronin Network黑客事件始末

作者:

时间:1900/1/1 0:00:00

2022年03月29日,AxieInfinity侧链RoninNetwork发布社区预警,RoninNetwork出现安全漏洞,RoninBridge共17.36万枚ETH和2550万枚USDC被盗,损失超6.1亿美元。慢雾安全团队第一时间介入分析,并将分析结果分享如下。

相关信息

Ronin是以太坊的一个侧链,专门为链游龙头AxieInfinity而创建,它自称是将朝着「NFT游戏最常用的以太坊侧链」方向发展。据了解,AxieInfinity的团队SkyMavis想要一个可靠、快速且廉价的网络,从而为游戏的发展提供保障。他们需要一个以游戏为先的扩容方案,它不仅要能经得起时间的考验,还得满足游戏快速发展所带来的大量需求。于是,Ronin链便应运而生了。黑客地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96攻击细节

慢雾:共享Apple ID导致资产被盗核心问题是应用没有和设备码绑定:5月19日消息,慢雾首席信息安全官23pds发推表示,针对共享Apple ID导致资产被盗现象,核心问题是应用没有和设备码绑定,目前99%的钱包、交易App等都都存在此类问题,没有绑定就导致数据被拖走或被恶意同步到其他设备导致被运行,攻击者在配合其他手法如社工、爆破等获取的密码,导致资产被盗。23pds提醒用户不要使用共享Apple ID等,同时小心相册截图被上传出现资产损失。[2023/5/19 15:13:08]

据官方发布的信息,攻击者使用被黑的私钥来伪造提款,仅通过两次交易就从Roninbridge中抽走了资金。值得注意的是,黑客事件早在3月23日就发生了,但官方据称是在用户报告无法从bridge中提取5kETH后才发现这次攻击。本次事件的损失甚至高于去年的PolyNetwork被黑事件,后者也窃取了超过6亿美元。事情背景可追溯到去年11月,当时SkyMavis请求AxieDAO帮助分发免费交易。由于用户负载巨大,AxieDAO将SkyMavis列入白名单,允许SkyMavis代表其签署各种交易,该过程于12月停止。但是,对白名单的访问权限并未被撤销,这就导致一旦攻击者获得了SkyMavis系统的访问权限,就能够通过gas-freeRPC从AxieDAO验证器进行签名。SkyMavis的Ronin链目前由九个验证节点组成,其中至少需要五个签名来识别存款或取款事件。攻击者通过gas-freeRPC节点发现了一个后门,最终攻击者设法控制了五个私钥,其中包括SkyMavis的四个Ronin验证器和一个由AxieDAO运行的第三方验证器。MistTrack

慢雾:Transit Swap黑客攻击交易被抢跑,套利机器人获利超100万美元:10月1日消息,据慢雾安全团队情报,Transit Swap 黑客转移用户 BSC 链 BUSD 资产时被套利机器人抢跑,区块高度为21816885,获利107万BUSD。套利机器人相关地址列表如下:0xa957...70d2、0x90b5...8ff4、0xcfb0...7ac7、

截止到目前,在各方的共同努力下,黑客已将 70% 左右的被盗资产退还到Transit Swap开发者地址,建议套利机器人所属人同样通过service@transit.finance或链上地址与Transit Swap取得联系,共同将此次被盗事件的受害用户损失降低到最小。[2022/10/2 18:37:44]

在事件发生后,慢雾第一时间追踪分析并于北京时间3月30日凌晨1:09发声。

慢雾:疑似Gemini相关地址在过去5小时内共转出逾20万枚ETH:金色财经消息,慢雾监测显示,疑似加密交易所Gemini相关地址(0xea3ec2a08fee18ff4798c2d4725ded433d94151d)已在过去5小时内归集并转出逾20万枚ETH(超3亿美元)。[2022/7/19 2:22:08]

据慢雾MistTrack反追踪系统分析,黑客在3月23日就已获利,并将获利的2550万枚USDC转出,接着兑换为ETH。

声音 | 慢雾:Ghostscript存在多个漏洞:据慢雾区消息,Google Project Zero发布Ghostscript多个漏洞预警,远端攻击者可利用漏洞在目标系统执行任意代码及绕过安全限制。Ghostscript 9.26及更早版本都受影响。软件供应商已提供补丁程序。[2019/1/24]

而在3月28日2:30:38,黑客才开始转移资金。据慢雾MistTrack分析,黑客首先将6250ETH分散转移,并将1220ETH转移到FTX、1ETH转到Crypto.com、3750ETH转到Huobi。

值得注意的是,黑客发起攻击资金来源是从Binance提币的1.0569ETH。

目前,Huobi、Binance创始人均发表了将全力支持AxieInfinity的声明,FTX的CEOSBF也在一封电子邮件中表示,将协助取证。

截止目前,仍有近18万枚ETH停留在黑客地址。

目前黑客只将资金转入了中心化平台,很多人都在讨论黑客似乎只会盗币,却不会洗币。尽管看起来是这样,但这也是一种常见的简单粗暴的洗币手法,使用假KYC、代理IP、假设备信息等等。从慢雾目前获取到的特殊情报来看,黑客并不“傻”,还挺狡猾,但追回还是有希望的,时间上需要多久就不确定了。当然,这也要看执法单位的决心如何了。总结

本次攻击事件主要原因在于SkyMavis系统被入侵,以及AxieDAO白名单权限维护不当。同时我们不妨大胆推测下:是不是SkyMavis系统里持有4把验证器的私钥?攻击者通过入侵SkyMavis系统获得四个验证节点权限,然后对恶意提款交易进行签名,再利用AxieDAO对SkyMavis开放的白名单权限,攻击者通过gas-freeRPC向AxieDAO验证器推送恶意提款交易获得第五个验证节点对恶意提款交易的签名,进而通过5/9签名验证。最后,在此引用安全鹭的建议:1、私钥最好通过安全多方计算消除单点风险;2、私钥分片分散到多台硬件隔离的芯片里保护;3、大资金操作应有更多的策略审批保护,保证资金异动第一时间由主要负责人获悉并确认;4、被盗实际发生时间是3月23日,项目方应加强服务和资金监控。参考链接:RoninNetwork官方分析

标签:AXISKYMETHAVIWrapped Origin AxieSKYM价格ethnographersGRAVIO coin

聚币热门资讯
NFT:每周编辑精选 Weekly Editors' Picks(0409-0415)

余弦提醒大家牢记两大安全法则:始终保持怀疑,持续验证这些怀疑;并从创建钱包、备份钱包、使用钱包、传统隐私保护、人性安全、区块链作恶方式分别强调其中关键点,也囊括了一旦被盗后的处理方式和常见误区.

1900/1/1 0:00:00
NFT:超详细选购指南:如何挑选你人生的第一个NFT?

美国当地时间1月18日早晨,微软宣布,以每股95美元的价格收购游戏开发和互动娱乐内容发行商——动视暴雪,这成为游戏史上的最大一笔交易.

1900/1/1 0:00:00
HAN:01 Exchange:以“乘方永续合约”拓展DeFi衍生品边界

作者|秦晓峰编辑|郝方舟出品|Odaily星球日报 沃伦·巴菲特将衍生品的描述为“大规模杀伤性金融武器。”在DeFi市场中,衍生品赛道也一直被视为蓝海,众多玩家争相入局.

1900/1/1 0:00:00
TPS:四月IDO第四弹,10个热门项目即将上线

在过去三周的项目盘点中,我们发现目前IDO规则有了很大的改变。此前,IDO项目单地址中签额度基本在100美元以下,并且项目上线即解锁;如今,单地址额度有所上升,但项目普遍采取锁仓措施,上线只解锁.

1900/1/1 0:00:00
VIM:在 Web3重生,寻找另一个你 | Twitter Space

4月27日晚,3D虚拟人NFT项目HALO在TwitterSpace举办“在Web3重生,寻找另一个你”主题活动。本次活动邀请到四位3D艺术家共同探讨HALO的起源、设计以及未来发展规划.

1900/1/1 0:00:00
CRYP:对比传统VC与Crypto VC,Crypto如何改变新创投资生态?

撰文:@cjin,TonicFundCo-Founder前言在去年(2021/8)因好友在Facebook贴文建议–如果是Crypto项目筹资.

1900/1/1 0:00:00