Ronin被黑，詳解6.1億美元“何去何從”_ONI

后知后覺金錢消失術

在加密世界中，私鑰管理和保持私鑰安全性，一直是個重要的話題。

近日，當下最流行的NFT游戲AxieInfinity側鏈RoninNetwork受到黑客攻擊，造成價值約6.1億美金的加密貨幣被盜。其中攻擊者竊取了17.36萬枚ETH以及2550萬枚USDC。

值得一提的是，該攻擊于3月23日就已發生，但是5天后才因用戶報告無法提取5000ETH而發現該攻擊。

美聯儲調整銀行監管的政策可能會限制州立銀行的加密貨幣活動:1月28日消息，美國聯邦儲備委員會于1月27日宣布，它正在發布一份關于限制州立銀行的政策聲明，其中詳細討論了加密技術。聲明稱：“委員會還沒有確定任何機構允許州立銀行持有大多數加密貨幣資產。并且沒有任何聯邦法規或規則明確允許州立銀行持有加密貨幣資產作為本金。因此，根據《聯邦儲備法案》第9(13)條，委員會推定禁止州成員銀行從事此類活動。”

聲明還表示，州立銀行已提議發行“美元代幣”，即穩定幣，這些銀行現在將受到OCC第1174和1179號解釋函的約束，國家銀行也是如此。它補充道:“委員會普遍認為，在公開、公共和/或去中心化網絡或類似系統上發行代幣很可能不符合安全可靠的銀行業務慣例。”發表聲明的同一天，美聯儲拒絕了懷俄明州托管銀行加入聯邦儲備系統的申請。

據悉，該新政策旨在為有存款保險的國有銀行、沒有存款保險的國有銀行和由貨幣監理署 (OCC) 監管的國家銀行創造一個公平的競爭環境并限制監管套利，允許它們擁有相同的允許的活動范圍。該聲明將在聯邦公報上公布后生效。（Cointelegraph）[2023/1/28 11:33:33]

AxieInfinity是一款類似口袋妖怪的游戲，玩家可以在游戲中賺取加密貨幣；RoninNetwork則是為了實現高TransactionsPerSecond(TPS)并且讓用戶有更流暢游戲體驗而開發的側鏈；RoninBridge協助將加密貨幣轉入和轉出RoninNetwork；它們同屬SkyMavis運營。

安全團隊：約5817萬枚BUSD已從幣安轉入Paxos金庫:12月5日消息，據派盾監測數據顯示，北京時間13:54:35，58174997枚BUSD從未知地址轉至Paxos金庫。此前，趙長鵬在接受采訪時表示BUSD由Paxos發行和維護。[2022/12/5 21:23:16]

驗證節點失守

為了識別存款及取款事件，Ronin需要驗證九個驗證節點中的五個簽名。而攻擊者黑了4個SkyMavis的私鑰，制造了5個合法的簽名，即：4個SkyMavis驗證器和1個AxieDAO運行的第三方驗證器產生的簽名。

美國10年期國債收益率自2011年以來首次升至3.5%:9月19日消息，美國10年期國債收益率自2011年以來首次升至3.50%以上，因美國通脹趨勢加強了美聯儲將采取更激進緊縮措施的可能。交易員們預計，本周美聯儲再加息75個基點基本已成定局。還有傳言稱，美聯儲可能加息100個基點，以抑制物價壓力。即使在最近一輪加息之后，物價壓力也幾乎沒有顯示出緩解的跡象。投資者提高了對美聯儲最終可能在2023年初將政策利率推高到多少的預期。但人們越來越擔心經濟可能陷入衰退，并促使政策制定者明年降息。(金十)[2022/9/19 7:06:22]

SkyMavis的私鑰被入侵后，攻擊者利用簽名來制造“提款證明”。而在該漏洞發生后，SkyMavis已決定將所需驗證節點簽名增加至8個。

節點驗證雖已去中心化，但黑客卻發現了gas-freeRPC的一個后門。

早在2021年11月的一次AxieDAO活動中，AxieDAO賦予了SkyMavis代表其簽署交易的權限。但該權限后續并未被撤銷。

即：攻擊者一旦獲得了SkyMavis的訪問權限，即可通過gas-freeRPC獲得AxieDAO的簽名。

6億美金“何去何從”

在此，CertiK利用CertiKSkytrace總結了一份資金流動去向圖：

總結及建議

此次事件是由于私鑰管理不善而造成的。CertiK在此提醒用戶和項目方管理私鑰的重要性。

SkyMavis在項目中應用了多簽來避免單點故障，這是安全方面的一大進步。多簽指的是需要多個密鑰來授權交易，而不是一個密鑰的單一簽名。

然而早期活動期間發放的權限未被撤銷，從而令黑客有機可乘。因此切記在事件或功能完成后撤銷允許列表以及白名單訪問是非常重要的。

本次事件的預警已于第一時間在CertiK官方推特進行了播報。

除此之外，CertiK官網https://www.certik.com/也已添加社群預警功能。在官網上，大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

參考鏈接：https://roninblockchain.substack.com/p/community-alert-ronin-validators?s=w?https://rekt.news/ronin-rekt/

Tags：SKYONIAVIMAVSiberian HuskyPoloniexDAVISKarmaverse

幣安app官方下載最新版