損失超 6.1 億美元：Ronin Network 被黑分析_RON

2022 年 03 月 29 日，Axie Infinity 側鏈 Ronin Network 發布社區預警，Ronin Network 出現安全漏洞，Ronin Bridge 共 17.36 萬枚 ETH 和 2550 萬枚 USDC 被盜，損失超 6.1 億美元。慢霧安全團隊第一時間介入分析，并將分析結果分享如下。

相關信息

Ronin 是以太坊的一個側鏈，專門為鏈游龍頭 Axie Infinity 而創建，它自稱是將朝著「NFT 游戲最常用的以太坊側鏈」方向發展。據了解，Axie Infinity 的團隊 Sky Mavis 想要一個可靠、快速且廉價的網絡，從而為游戲的發展提供保障。他們需要一個以游戲為先的擴容方案，它不僅要能經得起時間的考驗，還得滿足游戲快速發展所帶來的大量需求。于是，Ronin 鏈便應運而生了。

MEV機器人遭黑客攻擊，損失超2000萬美元:4月3日消息，據推特用戶3155.eth在社交媒體披露，某些頂級MEV機器人被鎖定為黑客的攻擊目標，三明治套利中的交易模塊被替換，目前已造成超過2000萬美元的損失，這可能成為可能是整個MEV生態系統的主要轉折點。簡單解釋為黑客拿到了三明治套利的大戶bot的bundle交易，bundle里有3個交易為1.大量買入，2.被夾用戶的交易，3.大量賣出。黑客拿到了這個bundle，拆解了bundle，把2替換了成自己的交易，用便宜代幣換走了bot的資金，之后第3步交易失敗。”此外，根據@punk3155的推文，某MEV機器人遭遇了上述攻擊，總損失已達2000萬美元。[2023/4/3 13:41:50]

黑客地址：

0x098B716B8Aaf21512996dC57EB0615e2383E2f96

杜均：沒躲過SilverGate、SVB和USDC，身邊幾個行業老人股票加存款損失超過10億美元:金色財經報道，加密領域資深投資人杜均在社交媒體上發文表示，“躲過了LUNA，躲過了3AC，甚至都躲過了FTX，還是沒躲過SilverGate，也沒躲過SVB，更沒躲過USDC～問了身邊幾個行業老人，股票＋存款損失超過 1 Billion USD，嗯，我也不例外。難過，開始節衣縮食～。”[2023/3/11 12:56:58]

攻擊細節

據官方發布的信息，攻擊者使用被黑的私鑰來偽造提款，僅通過兩次交易就從 Ronin bridge 中抽走了資金。值得注意的是，黑客事件早在 3 月 23 日就發生了，但官方據稱是在用戶報告無法從 bridge 中提取 5k ETH 后才發現這次攻擊。本次事件的損失甚至高于去年的 PolyNetwork 被黑事件，后者也竊取了超過 6 億美元。

報告：2020年虛擬貨幣詐騙和勒索損失超32億美元 反洗錢形勢嚴峻:據PeckShield派盾發布的《2020年年度數字貨幣反洗錢報告》顯示，2020年涉及虛擬貨幣的詐騙事件和勒索攻擊近300起，造成經濟損失逾32億美元。虛擬貨幣詐騙案件持續高發，勒索案件快速增長，全球虛擬貨幣反洗錢形勢嚴峻。[2021/1/12 15:59:58]

事情背景可追溯到去年 11 月，當時 Sky Mavis 請求 Axie DAO 幫助分發免費交易。由于用戶負載巨大，Axie DAO 將 Sky Mavis 列入白名單，允許 Sky Mavis 代表其簽署各種交易，該過程于 12 月停止。但是，對白名單的訪問權限并未被撤銷，這就導致一旦攻擊者獲得了 Sky Mavis 系統的訪問權限，就能夠通過 gas-free RPC 從 Axie DAO 驗證器進行簽名。Sky Mavis 的 Ronin 鏈目前由九個驗證節點組成，其中至少需要五個簽名來識別存款或取款事件。攻擊者通過 gas-free RPC 節點發現了一個后門，最終攻擊者設法控制了五個私鑰，其中包括 Sky Mavis 的四個 Ronin 驗證器和一個由 Axie DAO 運行的第三方驗證器。

聲音 | Beosin（成都鏈安）預警：某EOS競猜類游戲遭受攻擊 損失超1200枚EOS:根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現，今日上午 8:53:15開始，黑客yunmen****對EOS競猜類游戲th****sgames發起攻擊。截止到現在，該黑客已經獲利超過1200枚EOS。Beosin建議游戲項目方應該加強項目運維工作，在收到安全公司的安全提醒之后第一時間排查項目安全性，才能及時止損，同時也呼吁項目開發者應該重視游戲邏輯嚴謹性及代碼安全性。Beosin提醒類似項目方全方面做好合約安全審計并加強風控策略，必要時可聯系第三方專業審計團隊，在上鏈前進行完善的代碼安全審計，防患于未然。[2019/4/3]

MistTrack

在事件發生后，慢霧第一時間追蹤分析并于北京時間 3 月 30 日凌晨 1:09 發聲。

2017年澳大利亞人在加密貨幣詐騙上損失超過210萬美元:澳大利亞競爭和消費者委員會表示，2017年澳大利亞消費者在加密貨幣詐騙上損失超過210萬美元。[2018/5/22]

據慢霧 MistTrack 反洗錢追蹤系統分析，黑客在 3 月 23 日就已獲利，并將獲利的 2550 萬枚 USDC 轉出，接著兌換為 ETH。

而在 3 月 28 日 2:30:38，黑客才開始轉移資金。

據慢霧 MistTrack 分析，黑客首先將 6250 ETH 分散轉移，并將 1220 ETH 轉移到 FTX、1 ETH 轉到 Crypto.com、3750 ETH 轉到 Huobi。

值得注意的是，黑客發起攻擊資金來源是從 Binance 提幣的 1.0569 ETH。

目前，Huobi、Binance 創始人均發表了將全力支持 Axie Infinity 的聲明 ，FTX 的 CEO SBF 也在一封電子郵件中表示，將協助取證。

截止目前，仍有近 18 萬枚 ETH 停留在黑客地址。

目前黑客只將資金轉入了中心化平臺，很多人都在討論黑客似乎只會盜幣，卻不會洗幣。盡管看起來是這樣，但這也是一種常見的簡單粗暴的洗幣手法，使用假 KYC、代理 IP、假設備信息等等。從慢霧目前獲取到的特殊情報來看，黑客并不“傻”，還挺狡猾，但追回還是有希望的，時間上需要多久就不確定了。當然，這也要看執法單位的決心如何了。

總結

本次攻擊事件主要原因在于 Sky Mavis 系統被入侵，以及 Axie DAO 白名單權限維護不當。同時我們不妨大膽推測下：是不是 Sky Mavis 系統里持有 4 把驗證器的私鑰？攻擊者通過入侵 Sky Mavis 系統獲得四個驗證節點權限，然后對惡意提款交易進行簽名，再利用? Axie DAO 對 Sky Mavis 開放的白名單權限，攻擊者通過 gas-free RPC 向 Axie DAO 驗證器推送惡意提款交易獲得第五個驗證節點對惡意提款交易的簽名，進而通過? 5/9 簽名驗證。

最后，在此引用安全鷺（Safeheron）的建議：

1、私鑰最好通過安全多方計算（MPC）消除單點風險；

2、私鑰分片分散到多臺硬件隔離的芯片里保護；

3、大資金操作應有更多的策略審批保護，保證資金異動第一時間由主要負責人獲悉并確認；

4、被盜實際發生時間是 3 月 23 日，項目方應加強服務和資金監控。

參考鏈接：

Ronin Network 官方分析：

https://roninblockchain.substack.com/p/community-alert-ronin-validators

Tags：RONSKYONIAXITronWalletXsky幣云世紀官網poloniex怎么讀BAXIS幣

UNI