RON:Ronin安全事件分析-ODAILY_EOS

前言

Ronin是新加坡游戲工作室SkyMavis開發的，是為支持游戲AxieInfinity而構建的以太坊側鏈，使得用戶能夠自由地將資產轉移到其他鏈上。

北京時間2022年3月29日，RoninNetwork官方發布聲明稱RoninBridge遭到入侵，損失了173600枚ETH和價值2550萬美元的USDC。

知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件。

數據：近一個月波場TRON活躍用戶數和活躍DApp數領跑眾公鏈:據DappReview網站數據顯示，近一個月波場TRON活躍用戶數和活躍DApp數一直領跑眾公鏈。其中，昨日波場TRON DApp活躍用戶數為125814，以太坊DApp活躍用戶數為39212，EOS DApp活躍用戶數為14359，波場TRON DApp活躍用戶數分別是以太坊的3倍多，是EOS的8倍多。據悉，波場 TRON 以推動互聯網去中心化為己任，致力于為去中心化互聯網搭建基礎設施。旗下的 TRON 協議是基于區塊鏈的去中心化應用操作系統協議之一，為協議上的去中心化應用運行提供高吞吐，高擴展，高可靠性的底層公鏈支持。波場 TRON 還通過創新的可插拔智能合約平臺為以太坊智能合約提供更好的兼容性。[2020/12/24 16:23:40]

AMPL將集成至Tron、Polkadot和NEAR區塊鏈:另類穩定幣項目Ampleforth（AMPL）基金會宣布AMPL代幣將在接下來的幾個月內在Tron、Acala（Polkadot）和NEAR區塊鏈上啟動。[2020/12/3 22:56:53]

基礎信息

攻擊者地址：0x098B716B8Aaf21512996dC57EB0615e2383E2f96

動態 | 跨ETH/EOS/TRON三大公鏈，DApp活躍度排行榜:據 DAppTotal 12月31日數據顯示，過去一周，綜合對比ETH、EOS、TRON三大公鏈的DApp生態情況發現: 總用戶量(個): EOS(113,309) > ETH(35,631) > TRON(20,721)；總交易次數(筆): EOS(25,806,019) > TRON(4,485,846) > ETH(377,289)；總交易額度(美元): EOS(223,422,365) > TRON(42,016,881) > ETH(12,174,899)；跨三條公鏈按用戶量TOP3 DApps為: DHB(EOS)、Endless Dice(EOS)、PRA CandyBox(EOS)；按交易次數TOP3 DApps分別為 Dice(EOS)、pokereos(EOS)、Royal Online Vegas(EOS)；按交易額度TOP3 DApps分別為: Dice(EOS)、TronVegas(TRON)、Chintai(EOS)。[2018/12/31]

tx1：0xc28fad5e8d5e0ce6a2eaf67b6687be5d58113e16be590824d6cfa1a94467d0b7

tx2:0xed2c72ef1a552ddaec6dd1f5cddf0b59a8f37f82bdda5257d9c7c37db7bb9b08

事件概述

據目前官方發出的聲明稱，攻擊者使用被黑客入侵的私鑰來偽造虛假的提款。直到29日早上，一名用戶無法從橋上提取5kETH而向Ronin官方報告之后，才發現了這次攻擊。目前Ronin橋和KatanaDex已經停止，官方也將驗證器閾值從5個提高到了8個。

Ronin鏈目前由9個驗證器節點組成。為了識別存款事件或提款事件，需要九個驗證者簽名中的五個。攻擊者設法控制了SkyMavis的四個Ronin驗證器和由AxieDAO運行的第三方驗證器。驗證器密鑰方案是分散設置的，以此來限制類似于此次的攻擊，但攻擊者發現了Ronin的無GasRPC節點的后門，從而獲取了AxieDAO驗證器的簽名。

此次事件由來可以追溯到2021年11月，當時AxieDAO驗證器被允許分發免費交易。這已于2021年12月停止，但AxieDAO驗證器IP仍在允許列表中。一旦攻擊者訪問了SkyMavis系統，便能夠通過無GasRPC從AxieDAO驗證器獲得簽名。

目前Ronin官方已經確認惡意提款中的簽名與五個可疑的驗證者相匹配。

總結

本次攻擊事件核心是私鑰泄露而導致的，雖然官方宣稱私鑰泄露是因為社會工程，但官方在攻擊發生一周后才公開此次事件，理由難免有些牽強，很難不使人猜想項目人員監守自盜的可能。

在此提醒項目方發布項目后一定要將私鑰嚴密保管，謹防網絡釣魚，另外，近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：RONtronEOSTROtronlink錢包怎么充值eos幣還有希望嗎Astro Cash

歐易交易所app官網下載