后知后觉金钱消失术
在加密世界中,私钥管理和保持私钥安全性,一直是个重要的话题。
近日,当下最流行的NFT游戏AxieInfinity侧链RoninNetwork受到黑客攻击,造成价值约6.1亿美金的加密货币被盗。其中攻击者窃取了17.36万枚ETH以及2550万枚USDC。
值得一提的是,该攻击于3月23日就已发生,但是5天后才因用户报告无法提取5000ETH而发现该攻击。
Apeiron完成1000万美元种子轮融资,Hashed领投:4月25日消息,NFT链游Apeiron已完成1000万美元种子轮融资,韩国区块链投资公司Hashed领投,DeFianceCapital、MorningstarVentures、SpartanGroup和De-FiCapital等风险投资公司参投。
Apeiron玩家将扮演神灵,并使用基于卡牌的实时战斗系统参与对战,该游戏由FoonieMagus开发,迄今总计募集到约1750万美元资金,包括300万美元pre-seed轮融资、1000万美元种子轮融资、以及450万美元NFT销售。(Bitcoin.com)[2022/4/25 14:48:21]
AxieInfinity是一款类似口袋妖怪的游戏,玩家可以在游戏中赚取加密货币;RoninNetwork则是为了实现高TransactionsPerSecond(TPS)并且让用户有更流畅游戏体验而开发的侧链;RoninBridge协助将加密货币转入和转出RoninNetwork;它们同属SkyMavis运营。
波场TRON交易总数突破26亿:2021年11月19日,根据TRONSCAN最新数据显示,波场TRON交易总数达到2,600,824,832,正式突破26亿。波场TRON各项数据一直稳中前进,波场生态逐渐强大的同时,也将迎来更多交易量。[2021/11/19 6:59:43]
验证节点失守
为了识别存款及取款事件,Ronin需要验证九个验证节点中的五个签名。而攻击者黑了4个SkyMavis的私钥,制造了5个合法的签名,即:4个SkyMavis验证器和1个AxieDAO运行的第三方验证器产生的签名。
动态 | 投资者Ronnie Moas和Civic CEO就此前的比特币价格注发生争论:投资者Ronnie Moas和Civic CEO Vinny Lingham在推特寻求解决2万美元未付注的争执。这场激烈的争论围绕Moas在2018年做出的承诺展开。当时他表示,与Lingham打,如果到2019年年底,比特币不到2.8万美元,他将捐赠2万美元给致力于释放丝绸之路创始人Ross Ulbricht的慈善机构Freeross.org。Lingham要求Moas确认他已按承诺付款。Moas随后惊讶地表示,他将不再履行自己的承诺。语气很快变得不友好,他形容Lingham是“可恶的混蛋”,并要求他解释Civic代币CVC价格几乎跌没了的原因,这样他才会信守承诺,在2020年向其网站上突出显示的组织分配2万美元。他声称自己有“十几个理由”不捐钱给FreeRoss。不出所料,推特用户支持Lingham,因为Moas违背最初的注条款。随着争论越来越激烈,What Bitcoin Did播客主持人Peter McCormack等比特币名人开始承诺自掏腰包弥补这笔资金。FreeRoss随后感谢这些参与者,他们每人承诺1000美元的捐款。(Cointelegraph)[2020/1/6]
SkyMavis的私钥被入侵后,攻击者利用签名来制造“提款证明”。而在该漏洞发生后,SkyMavis已决定将所需验证节点签名增加至8个。
节点验证虽已去中心化,但黑客却发现了gas-freeRPC的一个后门。
早在2021年11月的一次AxieDAO活动中,AxieDAO赋予了SkyMavis代表其签署交易的权限。但该权限后续并未被撤销。
即:攻击者一旦获得了SkyMavis的访问权限,即可通过gas-freeRPC获得AxieDAO的签名。
6亿美金“何去何从”
在此,CertiK利用CertiKSkytrace总结了一份资金流动去向图:
总结及建议
此次事件是由于私钥管理不善而造成的。
CertiK在此提醒用户和项目方管理私钥的重要性。
SkyMavis在项目中应用了多签来避免单点故障,这是安全方面的一大进步。多签指的是需要多个密钥来授权交易,而不是一个密钥的单一签名。
然而早期活动期间发放的权限未被撤销,从而令黑客有机可乘。因此切记在事件或功能完成后撤销允许列表以及白名单访问是非常重要的。
本次事件的预警已于第一时间在CertiK官方推特进行了播报。
除此之外,CertiK官网https://www.certik.com/也已添加社群预警功能。在官网上,大家可以随时看到与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。
参考链接:
https://roninblockchain.substack.com/p/community-alert-ronin-validators?s=w
https://rekt.news/ronin-rekt/
稳定币正在成为加密行业的焦点,而去中心化稳定币则有望夺过这一赛道的权杖,改写稳定币生态多年来严重依赖中心化系统的历史.
1900/1/1 0:00:00目前NFT市场遍地开花,截止到今天,以太坊链上NFT销售总额突破240亿美元,创下历史新高,较1月份增速20%,链上交易数量突破900万笔.
1900/1/1 0:00:003月大量ETH从Bitfinex转出根据WhaleAlert数据显示,24小时内有大量的以太坊从Bitfinex交易所转出.
1900/1/1 0:00:00北京时间2022年5月9日凌晨4:34:42,CertiK安全技术团队监测到FortressLoans遭到攻击.
1900/1/1 0:00:00在DeFi这条赛道里,AndreCronje这位赛手可谓是风云人物。被称为“DeFi之王”的AC手握数十个知名项目,他是YearnFinance创始人、是热门公链Fantom生态的核心贡献者、也.
1900/1/1 0:00:00新加坡当地时间5月24日,全球领先的数字资产和加密货币基础设施平台Fireblocks宣布,旗下专注机构业务的数字资产平台正式新增对TRX和波场链上所有TRC20代币的支持.
1900/1/1 0:00:00