Ronin被黑，詳解6.1億美元“何去何從”_SKY

后知后覺金錢消失術

在加密世界中，私鑰管理和保持私鑰安全性，一直是個重要的話題。

近日，當下最流行的NFT游戲AxieInfinity側鏈RoninNetwork受到黑客攻擊，造成價值約6.1億美金的加密貨幣被盜。其中攻擊者竊取了17.36萬枚ETH以及2550萬枚USDC。

值得一提的是，該攻擊于3月23日就已發生，但是5天后才因用戶報告無法提取5000ETH而發現該攻擊。

BIS發布使用AMM進行批發CBDC跨境交易的Mariana項目中期報告:6月28日消息，國際清算銀行（BIS）創新中心、瑞士、新加坡和歐元體系中心，以及法國銀行、新加坡金管局和瑞士國家銀行聯合發布跨中心研究項目Mariana的中期報告，Mariana項目著眼于未來世界，各國央行發行批發央行數字貨幣（wCBDC），并探索代幣化外匯交易和結算的新選擇。

該項目擴展了BIS創新中心之前的wCBDC實驗，探索了去中心化金融（DeFi）應用中開發的概念。它著手調查使用wCBDC的所謂自動做市商(AMM)是否可以提高外匯交易和結算的有效性、安全性和透明度，從而消除外匯市場中的一些相關風險。該項目還檢查了使用基于統一技術標準的wCBDC的跨境互操作性，作為面向未來的CBDC開發的一種方式。將于今年晚些時候發布的最終報告將討論項目調查結果、央行考慮因素以及未來可能的工作領域。[2023/6/28 22:06:24]

AxieInfinity是一款類似口袋妖怪的游戲，玩家可以在游戲中賺取加密貨幣；RoninNetwork則是為了實現高TransactionsPerSecond(TPS)并且讓用戶有更流暢游戲體驗而開發的側鏈；RoninBridge協助將加密貨幣轉入和轉出RoninNetwork；它們同屬SkyMavis運營。

DeFi保險項目Nexus Mutual V2版已上線以太坊主網:金色財經報道，據官方推特消息，DeFi保險項目Nexus Mutual宣布其V2版本已上線以太坊主網。該協議已轉變為風險管理層，專家可以在其中建立業務，包括：創立資本、啟動質押池、管理和定價風險、開發新產品等。V2旨在實現與原生DeFi和第三方用戶界面的無縫集成和產品覆蓋。[2023/3/17 13:09:15]

驗證節點失守

為了識別存款及取款事件，Ronin需要驗證九個驗證節點中的五個簽名。而攻擊者黑了4個SkyMavis的私鑰，制造了5個合法的簽名，即：4個SkyMavis驗證器和1個AxieDAO運行的第三方驗證器產生的簽名。

189,000,000 XRP 從未知錢包轉移到另一未知錢包:金色財經報道，據Whale Alert數據顯示，189,000,000 XRP(價值約75,552,320美元)從未知錢包轉移到另一未知錢包。[2023/2/6 11:48:53]

SkyMavis的私鑰被入侵后，攻擊者利用簽名來制造“提款證明”。而在該漏洞發生后，SkyMavis已決定將所需驗證節點簽名增加至8個。

節點驗證雖已去中心化，但黑客卻發現了gas-freeRPC的一個后門。

早在2021年11月的一次AxieDAO活動中，AxieDAO賦予了SkyMavis代表其簽署交易的權限。但該權限后續并未被撤銷。

即：攻擊者一旦獲得了SkyMavis的訪問權限，即可通過gas-freeRPC獲得AxieDAO的簽名。

6億美金“何去何從”

在此，CertiK利用CertiKSkytrace總結了一份資金流動去向圖：

總結及建議

此次事件是由于私鑰管理不善而造成的。CertiK在此提醒用戶和項目方管理私鑰的重要性。

SkyMavis在項目中應用了多簽來避免單點故障，這是安全方面的一大進步。多簽指的是需要多個密鑰來授權交易，而不是一個密鑰的單一簽名。

然而早期活動期間發放的權限未被撤銷，從而令黑客有機可乘。因此切記在事件或功能完成后撤銷允許列表以及白名單訪問是非常重要的。

本次事件的預警已于第一時間在CertiK官方推特進行了播報。

除此之外，CertiK官網https://www.certik.com/也已添加社群預警功能。在官網上，大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

參考鏈接：https://roninblockchain.substack.com/p/community-alert-ronin-validators?s=w?https://rekt.news/ronin-rekt/

Tags：SKYAVIERTONISKYBORNMETAVILLAGE價格Divert FinanceGSONIC價格

NEAR