慢霧：損失超6.1億美元，詳解Ronin Network黑客事件始末_AVI

2022年03月29日，AxieInfinity?側鏈RoninNetwork發布社區預警，RoninNetwork出現安全漏洞，RoninBridge共17.36萬枚?ETH?和2550萬枚?USDC?被盜，損失超6.1億美元。慢霧安全團隊第一時間介入分析，并將分析結果分享如下。

相關信息

Ronin是以太坊的一個側鏈，專門為鏈游龍頭AxieInfinity而創建，它自稱是將朝著「NFT?游戲最常用的以太坊側鏈」方向發展。據了解，AxieInfinity的團隊SkyMavis想要一個可靠、快速且廉價的網絡，從而為游戲的發展提供保障。他們需要一個以游戲為先的擴容方案，它不僅要能經得起時間的考驗，還得滿足游戲快速發展所帶來的大量需求。于是，Ronin鏈便應運而生了。

聯合國批準區塊鏈保證和標準化動態聯盟研究新興技術:金色財經報道，聯合國互聯網治理論壇（UN-IGF）秘書處已批準成立一個動態聯盟，旨在制定應用于各個領域的區塊鏈標準，包括公共服務和人工智能等新興技術。

區塊鏈保障和標準化動態聯盟由 政府區塊鏈協會（GBA）支持和主辦。聯合國合辦工作人員養恤基金首席信息官Dino Cataldo Dell'Accio和大灣區執行董事Gerard Dache將共同領導該項目。

該聯盟將主要為人工智能制定通用和行業特定的區塊鏈標準；通訊基礎設施；供應鏈; 數字身份；經濟發展和投資；環境管理; 以及投票、醫療保健和教育等公共服務。該小組已經開始試點區塊鏈標準，并開發了區塊鏈成??熟度模型，為尋求“開發可信區塊鏈解決方案”的組織提供“路線圖”。[2023/7/13 10:51:21]

黑客地址：

億萬富翁馬克庫班取消對MetaMask、TheBlock、Solana等加密項目的推特關注:11月21日消息，BigTechAlert監測顯示，達拉斯小牛隊老板、億萬富翁MarkCuban今日陸續取消對MetaMask、TheBlock、Solana、Treum、MirrorProtocol、Polkadot、DeFiPulse、Flow、DapperLabs等加密項目的推特關注。[2022/11/21 22:12:41]

0x098B716B8Aaf21512996dC57EB0615e2383E2f96

攻擊細節

據官方發布的信息，攻擊者使用被黑的私鑰來偽造提款，僅通過兩次交易就從Roninbridge中抽走了資金。值得注意的是，黑客事件早在3月23日就發生了，但官方據稱是在用戶報告無法從bridge中提取5kETH后才發現這次攻擊。本次事件的損失甚至高于去年的PolyNetwork?被黑事件，后者也竊取了超過6億美元。

Lido更新后的財庫多元化提案獲得通過:8月5日消息，Lido Finance更新后的財庫多元化提案投票于北京時間8月5日0:00結束，該提案已超過99%的支持率通過，Lido將向Dragonfly Capital出售1000萬枚LDO。

此前報道，Lido Finance于7月中旬發布提案，計劃出售2000萬枚LDO，售價為1.452153美元，Dragonfly Capital計劃購買1000萬枚，但該提案最終未通過投票。之后Lido Finance修改了該提案，將出售給DragonflyCapital的代幣增加了一年的鎖定期。此外，投票完成時，Dragonfly Capital將在先前的加權價格平均值加上50%溢價（約1.45美元）、7日加權價格平均值加上5%溢價這二者中選取價格高的方案，且如果LDO價格在投票時間表內超過2.25美元，DragonFly將可放棄購買。[2022/8/5 12:03:32]

事情背景可追溯到去年11月，當時SkyMavis請求Axie?DAO?幫助分發免費交易。由于用戶負載巨大，AxieDAO將SkyMavis列入白名單，允許SkyMavis代表其簽署各種交易，該過程于12月停止。但是，對白名單的訪問權限并未被撤銷，這就導致一旦攻擊者獲得了SkyMavis系統的訪問權限，就能夠通過gas-freeRPC從AxieDAO驗證器進行簽名。SkyMavis的Ronin鏈目前由九個驗證節點組成，其中至少需要五個簽名來識別存款或取款事件。攻擊者通過gas-freeRPC節點發現了一個后門，最終攻擊者設法控制了五個私鑰，其中包括SkyMavis的四個Ronin驗證器和一個由AxieDAO運行的第三方驗證器。

黑客組織Anonymous稱將調查Do Kwon罪行:6月27日消息，黑客活動組織“匿名者”(Anonymous)在 YouTube上警告稱，就今年5月Terra (LUNA)和Terra (UST)生態系統崩潰一事，其將“確保”Terra聯合創始人Do Kwon“盡快被繩之以法”。 該黑客組織承諾，將調查Do Kwon進入加密貨幣領域以來的罪行。Anonymous對Do Kwon警告稱：“毫無疑問，在你的毀滅之路上，還有更多的罪行有待發現。”（Cointelegraph）[2022/6/27 1:33:28]

MistTrack

在事件發生后，慢霧第一時間追蹤分析并于北京時間3月30日凌晨1:09發聲。

據慢霧MistTrack反洗錢追蹤系統分析，黑客在3月23日就已獲利，并將獲利的2550萬枚USDC轉出，接著兌換為ETH。

而在3月28日2:30:38，黑客才開始轉移資金。

據慢霧MistTrack分析，黑客首先將6250ETH分散轉移，并將1220ETH轉移到?FTX、1ETH轉到Crypto.com、3750ETH轉到Huobi。

值得注意的是，黑客發起攻擊資金來源是從Binance提幣的1.0569ETH。

目前，Huobi、Binance?創始人均發表了將全力支持AxieInfinity的聲明，FTX的CEOSBF也在一封電子郵件中表示，將協助取證。

截止目前，仍有近18萬枚ETH停留在黑客地址。

目前黑客只將資金轉入了中心化平臺，很多人都在討論黑客似乎只會盜幣，卻不會洗幣。盡管看起來是這樣，但這也是一種常見的簡單粗暴的洗幣手法，使用假KYC、代理IP、假設備信息等等。從慢霧目前獲取到的特殊情報來看，黑客并不“傻”，還挺狡猾，但追回還是有希望的，時間上需要多久就不確定了。當然，這也要看執法單位的決心如何了。

總結

本次攻擊事件主要原因在于SkyMavis系統被入侵，以及AxieDAO白名單權限維護不當。同時我們不妨大膽推測下：是不是SkyMavis系統里持有4把驗證器的私鑰？攻擊者通過入侵SkyMavis系統獲得四個驗證節點權限，然后對惡意提款交易進行簽名，再利用?AxieDAO對SkyMavis開放的白名單權限，攻擊者通過gas-freeRPC向AxieDAO驗證器推送惡意提款交易獲得第五個驗證節點對惡意提款交易的簽名，進而通過?5/9簽名驗證。

最后，在此引用安全鷺的建議：

1、私鑰最好通過安全多方計算消除單點風險；

2、私鑰分片分散到多臺硬件隔離的芯片里保護；

3、大資金操作應有更多的策略審批保護，保證資金異動第一時間由主要負責人獲悉并確認；

4、被盜實際發生時間是3月23日，項目方應加強服務和資金監控。

參考鏈接：

RoninNetwork官方分析

Tags：AVISKYSKYMAXIBitcoinSavingSKY價格SKYM價格axis幣發行價

萊特幣價格