前言
Ronin是新加坡游戏工作室SkyMavis开发的,是为支持游戏AxieInfinity而构建的以太坊侧链,使得用户能够自由地将资产转移到其他链上。
北京时间2022年3月29日,RoninNetwork官方发布声明称RoninBridge遭到入侵,损失了173600枚ETH和价值2550万美元的USDC。
知道创宇区块链安全实验室第一时间跟踪本次事件。
中航信托研发总监袁田:信托制度赋能数字版权价值最大化:金色财经现场报道,12月29日,第二届可信数字版权生态论坛在北京举办。中航信托研发总监、首席研究员袁田现场进行题为《基于版权链的数字版权资产信托产品设计》演讲指出,版权资产具有可确权、可评估、可交易、可质(抵)押、可转让、可变现的特点。版权等知识产权市场价值亟待借助信托的金融支持及受托服务赋能等方式进一步释放,信托制度具有结构设计灵活性、信托财产独立性、金融工具多样性、受托服务专业性等优势,信托制度赋能数字版权价值最大化。可信数字版权资产信托体系基于数字版权信托服务、版权链技术运营、权益保护协同治理三方面构建,未来希望促进文化金融创新、助力传统文化价值增益、弘扬传统文化发展传承。[2021/12/29 8:11:50]
ShapeShift CEO:比特币“有”最大化主义是“胡扯”:在迈阿密举行的比特币2021年会议上,ShapeShift CEO Erik Voorhees批评了早些时候一个小组成员称赞比特币“有”最大化主义的评论,说这种想法是“胡扯”。YouTube博主NicoZM称:“我不仅认为比特币性很重要,我还认为这是绝对必要的,如果你反对比特币性,你就是反对比特币,且反对比特币自由。”Voorhees当即对此言论进行驳斥。Voorhees会采取这种立场也在情理之中,因为ShapeShift有一个完全围绕比特币和山寨币建立的基础设施。(Crypto Potato)[2021/6/7 23:17:04]
基础信息
腾讯云区块链总经理:区块链信任机制将使数据价值发挥最大化:金色财经现场报道,7月5日,由杭州市余杭区政府指导,杭州未来科技城管委会、巴比特主办的2020杭州区块链国际周在杭州举办。腾讯云区块链总经理李力做了主题为《区块链赋能数据要素流通,助力数字经济高质量发展》的演讲。李力表示,数据成为最具时代特色的新型生产要素,但数据流通面临着数据互通难、数据质量不过关、数据权属不清晰、数据隐私安全难保障四大挑战,严重制约了数据价值的发挥。区块链可以打破数据孤岛、保障数据安全、形成监管闭环、提升数据质量,它是数据生产要素化和数据资产化的理想工具,其信任机制将助力数字经济发展,使数据价值发挥最大化。[2020/7/5]
攻击者地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96
tx1:0xc28fad5e8d5e0ce6a2eaf67b6687be5d58113e16be590824d6cfa1a94467d0b7
tx2:0xed2c72ef1a552ddaec6dd1f5cddf0b59a8f37f82bdda5257d9c7c37db7bb9b08
事件概述
据目前官方发出的声明称,攻击者使用被黑客入侵的私钥来伪造虚假的提款。直到29日早上,一名用户无法从桥上提取5kETH而向Ronin官方报告之后,才发现了这次攻击。目前Ronin桥和KatanaDex已经停止,官方也将验证器阈值从5个提高到了8个。
Ronin链目前由9个验证器节点组成。为了识别存款事件或提款事件,需要九个验证者签名中的五个。攻击者设法控制了SkyMavis的四个Ronin验证器和由AxieDAO运行的第三方验证器。验证器密钥方案是分散设置的,以此来限制类似于此次的攻击,但攻击者发现了Ronin的无GasRPC节点的后门,从而获取了AxieDAO验证器的签名。
此次事件由来可以追溯到2021年11月,当时AxieDAO验证器被允许分发免费交易。这已于2021年12月停止,但AxieDAO验证器IP仍在允许列表中。一旦攻击者访问了SkyMavis系统,便能够通过无GasRPC从AxieDAO验证器获得签名。
目前Ronin官方已经确认恶意提款中的签名与五个可疑的验证者相匹配。
总结
本次攻击事件核心是私钥泄露而导致的,虽然官方宣称私钥泄露是因为社会工程,但官方在攻击发生一周后才公开此次事件,理由难免有些牵强,很难不使人猜想项目人员监守自盗的可能。
在此提醒项目方发布项目后一定要将私钥严密保管,谨防网络钓鱼,另外,近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。