SKY:慢雾：损失超6.1亿美元，详解Ronin Network黑客事件始末_DAO

2022年03月29日，AxieInfinity侧链RoninNetwork发布社区预警，RoninNetwork出现安全漏洞，RoninBridge共17.36万枚ETH和2550万枚USDC被盗，损失超6.1亿美元。慢雾安全团队第一时间介入分析，并将分析结果分享如下。

相关信息

Ronin是以太坊的一个侧链，专门为链游龙头AxieInfinity而创建，它自称是将朝着「NFT游戏最常用的以太坊侧链」方向发展。据了解，AxieInfinity的团队SkyMavis想要一个可靠、快速且廉价的网络，从而为游戏的发展提供保障。他们需要一个以游戏为先的扩容方案，它不仅要能经得起时间的考验，还得满足游戏快速发展所带来的大量需求。于是，Ronin链便应运而生了。黑客地址：0x098B716B8Aaf21512996dC57EB0615e2383E2f96攻击细节

慢雾：针对macOS系统恶意软件RustBucket窃取系统信息:金色财经报道，SlowMist发布安全警报，针对macOS 运行系统的 Rust 和 Objective-C 编写的恶意软件RustBucket，感染链由一个 macOS 安装程序组成，该安装程序安装了一个带后门但功能正常的 PDF 阅读器。然后伪造的 PDF 阅读器需要打开一个特定的 PDF 文件，该文件作为触发恶意活动的密钥。[2023/5/23 15:20:27]

据官方发布的信息，攻击者使用被黑的私钥来伪造提款，仅通过两次交易就从Roninbridge中抽走了资金。值得注意的是，黑客事件早在3月23日就发生了，但官方据称是在用户报告无法从bridge中提取5kETH后才发现这次攻击。本次事件的损失甚至高于去年的PolyNetwork被黑事件，后者也窃取了超过6亿美元。事情背景可追溯到去年11月，当时SkyMavis请求AxieDAO帮助分发免费交易。由于用户负载巨大，AxieDAO将SkyMavis列入白名单，允许SkyMavis代表其签署各种交易，该过程于12月停止。但是，对白名单的访问权限并未被撤销，这就导致一旦攻击者获得了SkyMavis系统的访问权限，就能够通过gas-freeRPC从AxieDAO验证器进行签名。SkyMavis的Ronin链目前由九个验证节点组成，其中至少需要五个签名来识别存款或取款事件。攻击者通过gas-freeRPC节点发现了一个后门，最终攻击者设法控制了五个私钥，其中包括SkyMavis的四个Ronin验证器和一个由AxieDAO运行的第三方验证器。MistTrack

慢雾：GenomesDAO被黑简析:据慢雾区hacktivist消息，MATIC上@GenomesDAO项目遭受黑客攻击，导致其LPSTAKING合约中资金被非预期的取出。慢雾安全团队进行分析有以下原因：

1.由于GenomesDAO的LPSTAKING合约的initialized函数公开可调用且无权限与不可能重复初始化限制，攻击者利用initialized函数将合约的stakingToken设置为攻击者创建的虚假LP代币。

2.随后攻击者通过stake函数进行虚假LP代币的抵押操作，以获得大量的LPSTAKING抵押凭证。

3.获得凭证后再次通过initialized函数将合约的stakingToken设置为原先真是的LP代币，随后通过withdraw函数销毁LPSTAKING凭证获取合约中真实的LP抵押物。

4.最后将LP发送至DEX中移除流动性获利。

本次事件是因为GenomesDAO的LPSTAKING合约可被任意重复初始化设置关键参数而导致合约中的抵押物被恶意耗尽。[2022/8/7 12:07:06]

在事件发生后，慢雾第一时间追踪分析并于北京时间3月30日凌晨1:09发声。

慢雾：警惕QANX代币的双花攻击风险:据慢雾区消息，近期存在恶意用户利用QANX代币的转账锁定、解锁功能(transferLocked/unlock)触发的事件记录与正常使用transfer功能转账触发的Transfer事件记录相同而进行双花攻击。

慢雾安全团队建议已上架此币种的平台及时自查，未上架的平台在对接此类币种时应注意以上风险。

QANX: 0xaaa7a10a8ee237ea61e8ac46c50a8db8bcc1baaa[2022/3/26 14:18:46]

据慢雾MistTrack反追踪系统分析，黑客在3月23日就已获利，并将获利的2550万枚USDC转出，接着兑换为ETH。

声音 | 慢雾：使用中心化数字货币交易所及钱包的用户注意撞库攻击:据慢雾消息，近日，注意到撞库攻击导致用户数字货币被盗的情况，具体原因在于用户重复使用了已泄露的密码或密码通过撞库攻击的“密码生成基本算法”可以被轻易猜测，同时用户在这些中心化服务里并未开启双因素认证。分析认为，被盗用户之所以没开启双因素认证是以为设置了独立的资金密码就很安全，但实际上依赖密码的认证体系本身就不是个足够靠谱的安全体系，且各大中心化数字货币交易所及钱包在用户账号风控体系的策略不一定都一致，这种不一致可能导致用户由于“惯性思维”而出现安全问题。[2019/3/10]

而在3月28日2:30:38，黑客才开始转移资金。据慢雾MistTrack分析，黑客首先将6250ETH分散转移，并将1220ETH转移到FTX、1ETH转到Crypto.com、3750ETH转到Huobi。

值得注意的是，黑客发起攻击资金来源是从Binance提币的1.0569ETH。

目前，Huobi、Binance创始人均发表了将全力支持AxieInfinity的声明，FTX的CEOSBF也在一封电子邮件中表示，将协助取证。

截止目前，仍有近18万枚ETH停留在黑客地址。

目前黑客只将资金转入了中心化平台，很多人都在讨论黑客似乎只会盗币，却不会洗币。尽管看起来是这样，但这也是一种常见的简单粗暴的洗币手法，使用假KYC、代理IP、假设备信息等等。从慢雾目前获取到的特殊情报来看，黑客并不“傻”，还挺狡猾，但追回还是有希望的，时间上需要多久就不确定了。当然，这也要看执法单位的决心如何了。总结

本次攻击事件主要原因在于SkyMavis系统被入侵，以及AxieDAO白名单权限维护不当。同时我们不妨大胆推测下：是不是SkyMavis系统里持有4把验证器的私钥？攻击者通过入侵SkyMavis系统获得四个验证节点权限，然后对恶意提款交易进行签名，再利用AxieDAO对SkyMavis开放的白名单权限，攻击者通过gas-freeRPC向AxieDAO验证器推送恶意提款交易获得第五个验证节点对恶意提款交易的签名，进而通过5/9签名验证。最后，在此引用安全鹭的建议：1、私钥最好通过安全多方计算消除单点风险；2、私钥分片分散到多台硬件隔离的芯片里保护；3、大资金操作应有更多的策略审批保护，保证资金异动第一时间由主要负责人获悉并确认；4、被盗实际发生时间是3月23日，项目方应加强服务和资金监控。参考链接：RoninNetwork官方分析

标签：SKYAXISKYMDAOISKY币AxienomicsSkymapGro DAO Token

火必交易所热门资讯