Ronin Network被黑一圖詳解6.1億美元“何去何從”_RON

Author：

Time：1900/1/1 0:00:00

后知后覺金錢消失術

在加密世界中，私鑰管理和保持私鑰安全性，一直是個重要的話題。

近日，當下最流行的NFT游戲AxieInfinity側鏈RoninNetwork受到黑客攻擊，造成價值約6.1億美金的加密貨幣被盜。其中攻擊者竊取了17.36萬枚ETH以及2550萬枚USDC。

值得一提的是，該攻擊于3月23日就已發生，但是5天后才因用戶報告無法提取5000ETH而發現該攻擊。

IRON Finance因遭到擠兌導致治理代幣TITAN幾近歸零:Polygon上部分抵押穩定幣項目IRON Finance表示，由于遭到銀行擠兌，其治理代幣TITAN在過去24小時內暴跌幾近歸零，目前合約不允許贖回，需等待12小時的時間鎖才可供用戶再次贖回USDC。另外，IronBank提醒社區從所有池中提取流動性，將盡快發布事后分析報告。截至今日8點，IRON Finance總鎖倉額較24小時之前減少超73%，至5.76億美元。[2021/6/17 23:43:36]

AxieInfinity是一款類似口袋妖怪的游戲，玩家可以在游戲中賺取加密貨幣；RoninNetwork則是為了實現高TransactionsPerSecond(TPS)并且讓用戶有更流暢游戲體驗而開發的側鏈；RoninBridge協助將加密貨幣轉入和轉出RoninNetwork；它們同屬SkyMavis運營。

波場TRON五幣齊挖世紀挖礦活動（第二期）正式開啟:據波場TRON官方最新消息，波場TRON五幣齊挖世紀挖礦活動（第二期）已經震撼開啟，活動時間為4月5日21:00-5月3日20:59 (SGT）。第二期力度將再次提升，WBTT Lend池的倍速從8倍提升至16倍，WBTT-TRX LP池的倍速從28倍提升至42倍。

世紀挖礦招標也在持續進行中，波場TRON誠邀廣大社區項目方積極參與。最高總補貼每日100萬美金等值的TRX、BTT、JST、SUN、WIN。招標郵箱：CenturyMining@sun.io 。世紀挖礦相關平臺：SUN.io、JustLend.org 、JustSwap.org。世紀挖礦支持錢包：TronLink、TokenPocket、imToken、BitKeep等。[2021/4/3 19:43:39]

驗證節點失守

動態 | TRON DApp周報：已創建超過230萬個TRON帳戶啟動246個DApp:據Crypto Globe消息，根據TRON最新的DApp周報數據顯示，已創建超過230萬個TRON帳戶，并且已在TRON（TRX）網絡上啟動246個DApp 。在過去的一周里，有10個新的DApp在TRON的平臺上運行。根據智能合約啟動DApp創建網絡的每周進度摘要，該摘要還顯示目前在TRON上推出了71個與競猜相關的DApp。根據TRON的估計，每日活躍用戶約為70000個，平均每天有750,000個TRX交易，以及519個智能合約。[2019/4/7]

為了識別存款及取款事件，Ronin需要驗證九個驗證節點中的五個簽名。而攻擊者黑了4個SkyMavis的私鑰，制造了5個合法的簽名，即：4個SkyMavis驗證器和1個AxieDAO運行的第三方驗證器產生的簽名。

SkyMavis的私鑰被入侵后，攻擊者利用簽名來制造“提款證明”。而在該漏洞發生后，SkyMavis已決定將所需驗證節點簽名增加至8個。

節點驗證雖已去中心化，但黑客卻發現了gas-freeRPC的一個后門。

早在2021年11月的一次AxieDAO活動中，AxieDAO賦予了SkyMavis代表其簽署交易的權限。但該權限后續并未被撤銷。

即：攻擊者一旦獲得了SkyMavis的訪問權限，即可通過gas-freeRPC獲得AxieDAO的簽名。

6億美金“何去何從”

在此，CertiK利用CertiKSkytrace總結了一份資金流動去向圖：