RON:Ronin Network被黑，一图详解6.1亿美元“何去何从”_tron

作者：

时间：1900/1/1 0:00:00

后知后觉金钱消失术

在加密世界中，私钥管理和保持私钥安全性，一直是个重要的话题。

近日，当下最流行的NFT游戏AxieInfinity侧链RoninNetwork受到黑客攻击，造成价值约6.1亿美金的加密货币被盗。其中攻击者窃取了17.36万枚ETH以及2550万枚USDC。

值得一提的是，该攻击于3月23日就已发生，但是5天后才因用户报告无法提取5000ETH而发现该攻击。

TRON多重签名漏洞使超过5亿美元的资产面临风险，目前该漏洞已被披露并修复:金色财经报道，区块链安全公司 DWallet Labs 发现 TRON 多重签名账户中的一个零日漏洞使超过 5 亿美元的数字资产面临风险，此漏洞允许多重签名帐户的任何签名者（具有任何权重）完全克服 TRON 提供的多重签名安全性，无论帐户中定义的阈值和签名者数量如何。目前该漏洞已被披露并修复，因此现在没有用户资产处于风险之中。[2023/5/30 11:48:33]

AxieInfinity是一款类似口袋妖怪的游戏，玩家可以在游戏中赚取加密货币；RoninNetwork则是为了实现高TransactionsPerSecond(TPS)并且让用户有更流畅游戏体验而开发的侧链；RoninBridge协助将加密货币转入和转出RoninNetwork；它们同属SkyMavis运营。

加密初创公司Iron Fish完成2760万A轮融资，A16z领投:11月30日消息，据福布斯报道，加密初创公司Iron Fish完成2760万A轮融资，A16z领投。其他投资者包括红杉资本、LinkedIn执行主席杰夫·韦纳、亿万富翁Met的所有者艾伦·霍华德(AlanHoward)等人，该公司计划用这笔资金将其团队规模扩大近一倍，建立一个金库，用于向正在建设的公司分配赠款，并支付法律费用以帮助确保流程尽可能合规。[2021/11/30 12:40:52]

验证节点失守

动态 | 跨ETH/EOS/TRON三大公链，DApp活跃度排行榜:据 DAppTotal 12月31日数据显示，过去一周，综合对比ETH、EOS、TRON三大公链的DApp生态情况发现: 总用户量(个): EOS(113,309) > ETH(35,631) > TRON(20,721)；总交易次数(笔): EOS(25,806,019) > TRON(4,485,846) > ETH(377,289)；总交易额度(美元): EOS(223,422,365) > TRON(42,016,881) > ETH(12,174,899)；跨三条公链按用户量TOP3 DApps为: DHB(EOS)、Endless Dice(EOS)、PRA CandyBox(EOS)；按交易次数TOP3 DApps分别为 Dice(EOS)、pokereos(EOS)、Royal Online Vegas(EOS)；按交易额度TOP3 DApps分别为: Dice(EOS)、TronVegas(TRON)、Chintai(EOS)。[2018/12/31]

DAO运行的第三方验证器产生的签名。

SkyMavis的私钥被入侵后，攻击者利用签名来制造“提款证明”。而在该漏洞发生后，SkyMavis已决定将所需验证节点签名增加至8个。

节点验证虽已去中心化，但黑客却发现了gas-freeRPC的一个后门。

早在2021年11月的一次AxieDAO活动中，AxieDAO赋予了SkyMavis代表其签署交易的权限。但该权限后续并未被撤销。

即：攻击者一旦获得了SkyMavis的访问权限，即可通过gas-freeRPC获得AxieDAO的签名。

在此，CertiK利用CertiKSkytrace总结了一份资金流动去向图：

总结及建议

此次事件是由于私钥管理不善而造成的。

SkyMavis在项目中应用了多签来避免单点故障，这是安全方面的一大进步。多签指的是需要多个密钥来授权交易，而不是一个密钥的单一签名。

然而早期活动期间发放的权限未被撤销，从而令黑客有机可乘。因此切记在事件或功能完成后撤销允许列表以及白名单访问是非常重要的。

本次事件的预警已于第一时间在CertiK官方推特进行了播报。

除此之外，CertiK官网https://www.certik.com/也已添加社群预警功能。在官网上，大家可以随时看到与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。