Ronin Network被黑，一圖詳解6.1億美元“何去何從”_RON

后知后覺金錢消失術

在加密世界中，私鑰管理和保持私鑰安全性，一直是個重要的話題。

近日，當下最流行的NFT游戲AxieInfinity側鏈RoninNetwork受到黑客攻擊，造成價值約6.1億美金的加密貨幣被盜。其中攻擊者竊取了17.36萬枚ETH以及2550萬枚USDC。

值得一提的是，該攻擊于3月23日就已發生，但是5天后才因用戶報告無法提取5000ETH而發現該攻擊。

YFI創始人Andre Cronje新實驗“Keep3r網絡”發布v1測試版:Yearn.finance（YFI）創始人Andre Cronje新實驗“Keep3r網絡”發布v1測試版。但其免責聲明表示，Keep3r Network仍在審計中，合約已經過審計和審查，這并不意味著不能/不會存在錯誤。據悉，Keep3r網絡是一個去中心化求職市場，項目可以發布職位，用戶可以接受職位。在此系統中，每項完成工作的報酬均應以KPR代幣支付。[2020/10/28]

AxieInfinity是一款類似口袋妖怪的游戲，玩家可以在游戲中賺取加密貨幣；RoninNetwork則是為了實現高TransactionsPerSecond(TPS)并且讓用戶有更流暢游戲體驗而開發的側鏈；RoninBridge協助將加密貨幣轉入和轉出RoninNetwork；它們同屬SkyMavis運營。

波場TRON總賬戶數突破800萬:8月21日，根據TRONSCAN波場區塊鏈瀏覽器最新數據顯示，波場TRON總賬戶數達到8,001,797，突破800萬。波場TRON各項數據平穩增長，波場生態逐漸強大的同時，也將迎來更多交易量。[2020/8/21]

驗證節點失守

DAO運行的第三方驗證器產生的簽名。

SkyMavis的私鑰被入侵后，攻擊者利用簽名來制造“提款證明”。而在該漏洞發生后，SkyMavis已決定將所需驗證節點簽名增加至8個。

波場網絡即將上線TRON 4.0時代:據最新消息顯示，波場網絡即將開啟TRON 4.0時代，4.0包含了一系列重量級Feature：1.支持隱私特性，虛擬機中支持零知識證明，用戶隱私數據將會得到更好的保護；2.新的二層共識機制，可以做到更快的區塊確認，并且為跨鏈協議提供安全性保障；3.TICP跨鏈協議，實現安全、高效的鏈間互通與資產轉移，獨特的激勵機制，實現真正意義的去中心化跨鏈；4.企業級一鍵發鏈，推出波場網絡開發框架，支持定制化開發，企業開發者可快速部署基于自身業務場景的應用鏈。TRON 4.0是波場生態建設的又一里程碑，相信未來會吸引更多的生態伙伴和用戶參與進來。[2020/5/25]

節點驗證雖已去中心化，但黑客卻發現了gas-freeRPC的一個后門。

早在2021年11月的一次AxieDAO活動中，AxieDAO賦予了SkyMavis代表其簽署交易的權限。但該權限后續并未被撤銷。

即：攻擊者一旦獲得了SkyMavis的訪問權限，即可通過gas-freeRPC獲得AxieDAO的簽名。

在此，CertiK利用CertiKSkytrace總結了一份資金流動去向圖：

總結及建議

此次事件是由于私鑰管理不善而造成的。

SkyMavis在項目中應用了多簽來避免單點故障，這是安全方面的一大進步。多簽指的是需要多個密鑰來授權交易，而不是一個密鑰的單一簽名。

然而早期活動期間發放的權限未被撤銷，從而令黑客有機可乘。因此切記在事件或功能完成后撤銷允許列表以及白名單訪問是非常重要的。

本次事件的預警已于第一時間在CertiK官方推特進行了播報。

除此之外，CertiK官網https://www.certik.com/也已添加社群預警功能。在官網上，大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

參考鏈接：

https://roninblockchain.substack.com/p/community-alert-ronin-validators?s=w?

https://rekt.news/ronin-rekt/

Tags：RONSKYTROtronNeuron Chainhuskyelectronicmedia4XTron

幣贏