tron:Ronin安全事件分析-ODAILY

前言

Ronin是新加坡游戏工作室SkyMavis开发的，是为支持游戏AxieInfinity而构建的以太坊侧链，使得用户能够自由地将资产转移到其他链上。

北京时间2022年3月29日，RoninNetwork官方发布声明称RoninBridge遭到入侵，损失了173600枚ETH和价值2550万美元的USDC。

知道创宇区块链安全实验室第一时间跟踪本次事件。

波场TRON五币齐挖“世纪挖矿”已经启动，目前APY最高达9788%:据最新消息，波场TRON五币齐挖“世纪挖矿”已于3月8日21:00(SGT)正式开启，ETH-TRX LP的APY高达7835.93%，WIN-TRX LP高达9788.34%。

据悉，首期活动时间为：3月8日21:00至4月5日20:59 (SGT)，通过在挖矿相关平台：SUN.io、JustLend.org 、JustSwap.org进行LP与Lend质押，使用波场TRON支持的钱包（TronLink、TokenPocket、imToken、BitKeep等）进行挖矿。与此同时，挖五币交易对也可以获得项目方代币，实现多币互挖。波场TRON基金会将联合BitTorrent、JUST、SUN、WIN基金会，按照项目方赞助资金比例排名，最高补贴50%，最高总补贴每日100万美金等值的TRX、BTT、JST、SUN、WIN大礼包（统称为波场TRON大礼包）。[2021/3/8 18:26:11]

去中心化稳定币Meter将在Elrond主网上发行MTR代币:去中心化稳定币Meter和分片项目Elrond达成合作，通过此次合作Meter将其低波动性加密货币MTR引入Elrond区块链，用于支付和DeFi场景。双方将合作在Elrond主网上发行低波动性稳定币MTR。Elrond加密货币标准模式（ESDT）可以让MTR在Elrond主网上以极高的速度及极少的费用进行转换，这将扩大MTR在Elrond生态系统中的覆盖范围。[2020/8/12]

基础信息

波场TRON总账户数突破750万:8月11日，根据TRONSCAN波场区块链浏览器最新数据显示，波场TRON总账户数达到7,539,368，突破750万。波场TRON各项数据平稳增长，波场生态逐渐强大的同时，也将迎来更多交易量。[2020/8/11]

攻击者地址：0x098B716B8Aaf21512996dC57EB0615e2383E2f96

tx1：0xc28fad5e8d5e0ce6a2eaf67b6687be5d58113e16be590824d6cfa1a94467d0b7

tx2:0xed2c72ef1a552ddaec6dd1f5cddf0b59a8f37f82bdda5257d9c7c37db7bb9b08

事件概述

据目前官方发出的声明称，攻击者使用被黑客入侵的私钥来伪造虚假的提款。直到29日早上，一名用户无法从桥上提取5kETH而向Ronin官方报告之后，才发现了这次攻击。目前Ronin桥和KatanaDex已经停止，官方也将验证器阈值从5个提高到了8个。

Ronin链目前由9个验证器节点组成。为了识别存款事件或提款事件，需要九个验证者签名中的五个。攻击者设法控制了SkyMavis的四个Ronin验证器和由AxieDAO运行的第三方验证器。验证器密钥方案是分散设置的，以此来限制类似于此次的攻击，但攻击者发现了Ronin的无GasRPC节点的后门，从而获取了AxieDAO验证器的签名。

此次事件由来可以追溯到2021年11月，当时AxieDAO验证器被允许分发免费交易。这已于2021年12月停止，但AxieDAO验证器IP仍在允许列表中。一旦攻击者访问了SkyMavis系统，便能够通过无GasRPC从AxieDAO验证器获得签名。

目前Ronin官方已经确认恶意提款中的签名与五个可疑的验证者相匹配。

总结

本次攻击事件核心是私钥泄露而导致的，虽然官方宣称私钥泄露是因为社会工程，但官方在攻击发生一周后才公开此次事件，理由难免有些牵强，很难不使人猜想项目人员监守自盗的可能。

在此提醒项目方发布项目后一定要将私钥严密保管，谨防网络钓鱼，另外，近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：RONtronTROONIZeronautsSTRONG币AstroDonkeyQroni

聚币热门资讯