前言
Ronin是新加坡游戏工作室SkyMavis开发的,是为支持游戏AxieInfinity而构建的以太坊侧链,使得用户能够自由地将资产转移到其他链上。
北京时间2022年3月29日,RoninNetwork官方发布声明称RoninBridge遭到入侵,损失了173600枚ETH和价值2550万美元的USDC。
知道创宇区块链安全实验室第一时间跟踪本次事件。
MetronomeDAO:已收回Curve事件中大部分被盗资金,将确立恢复计划:8月2日消息,MetronomeDAO发推称,已成功收回大部分在Curve稳定币池攻击事件中被盗的资金,并将继续努力收回剩余资金。MetronomeDAO的下一步将急需确定其恢复计划,目前已建立一个新的msETH/WETH池,并初步注入流动性,将在未来10天内继续增加。其恢复计划将包括LP如何在这个新池中申领头寸。在部署这个新的msETH/WETH池时,项目方确认已经能够恢复Metronome主网运行。用户再次能够管理其Metronome Synth和智能挖矿。[2023/8/3 16:14:49]
动态 | 波场TRON第32号提案通过后将开启波场公链虚拟机中3个新特性:据最新消息显示,波场TRON本次第32号提案已于2020年2月21日11:30(新加坡时间)发起,本次提案通过后将开启TVM(波场公链虚拟机)中3个新特性,分别是:支持在TVM中进行并行验签、多重签名验签、判断地址是否为合约地址。提议通过之后,将进一步丰富智能合约的应用场景。[2020/2/21]
基础信息
攻击者地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96
动态 | 跨ETH/EOS/TRON/IOST四大公链,DApp活跃度排行榜:据 DAppTotal 05月13日数据显示,过去一周,综合对比ETH、EOS、TRON、IOST四大公链的DApp生态情况发现:总用户量(个): EOS(192,713) > TRON(103,655) > ETH(33,485) > IOST(9,257);总交易次数(笔):EOS(25,797,221) > TRON(8,116,495) > IOST(2,158,588) > ETH(390,124);总交易额(美元):EOS(179,665,283) > TRON(72,834,546) > ETH(35,467,364) > IOST(5,936,742);跨四条公链按用户量TOP3 DApps为: Endless Game(EOS)、Hash Baby(EOS)、Lore Free(EOS);按交易次数TOP3 DApps分别为:Hash Baby(EOS)、TronWoW(TRON)、TRONbet(TRON);按交易额TOP3 DApps分别为:EOSREX(EOS)、TronWoW(TRON)、Poker EOS(EOS)。[2019/5/13]
tx1:0xc28fad5e8d5e0ce6a2eaf67b6687be5d58113e16be590824d6cfa1a94467d0b7
tx2:0xed2c72ef1a552ddaec6dd1f5cddf0b59a8f37f82bdda5257d9c7c37db7bb9b08
事件概述
据目前官方发出的声明称,攻击者使用被黑客入侵的私钥来伪造虚假的提款。直到29日早上,一名用户无法从桥上提取5kETH而向Ronin官方报告之后,才发现了这次攻击。目前Ronin桥和KatanaDex已经停止,官方也将验证器阈值从5个提高到了8个。
Ronin链目前由9个验证器节点组成。为了识别存款事件或提款事件,需要九个验证者签名中的五个。攻击者设法控制了SkyMavis的四个Ronin验证器和由AxieDAO运行的第三方验证器。验证器密钥方案是分散设置的,以此来限制类似于此次的攻击,但攻击者发现了Ronin的无GasRPC节点的后门,从而获取了AxieDAO验证器的签名。
此次事件由来可以追溯到2021年11月,当时AxieDAO验证器被允许分发免费交易。这已于2021年12月停止,但AxieDAO验证器IP仍在允许列表中。一旦攻击者访问了SkyMavis系统,便能够通过无GasRPC从AxieDAO验证器获得签名。
目前Ronin官方已经确认恶意提款中的签名与五个可疑的验证者相匹配。
总结
本次攻击事件核心是私钥泄露而导致的,虽然官方宣称私钥泄露是因为社会工程,但官方在攻击发生一周后才公开此次事件,理由难免有些牵强,很难不使人猜想项目人员监守自盗的可能。
在此提醒项目方发布项目后一定要将私钥严密保管,谨防网络钓鱼,另外,近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
ChainlinkPriceFeeds在2019年发布,服务智能合约开发者不断增长的DeFi应用开发需求,为区块链网络接入安全、精准和实时的金融市场数据.
1900/1/1 0:00:00内容整理:付茗瑶后期编辑:张悦然、JaniceDeGame.com是新加坡区块链公司L2Y旗下的去中心化区块链游戏聚合平台,为玩家与投资者提供一站式体游戏体验.
1900/1/1 0:00:00Tether推出新的稳定币MXNT,价格与墨西哥比索挂钩Tether宣布推出与墨西哥比索1:1挂钩的新稳定币MXNT,标志着其进入拉丁美洲市场.
1900/1/1 0:00:00TigerVCDAO是属于所有人的去中心化VC。它由一些早期的加密从业者、知名VC、经验丰富的加密投资研究人员、合同审计机构和KOL共同建立。他们是各自领域的“老虎”.
1900/1/1 0:00:00据最新消息,USDD存款挖矿现已上线JustLend,用户只需在JustLend存入USDD就可获得JST+USDD存款挖矿奖励.
1900/1/1 0:00:00近日,华尔街知名投资银行Jefferies发布的一份分析师报告显示,到2025年,全球NFT市场价值将超过800亿美元.
1900/1/1 0:00:00