Ronin遭入侵 损失近6亿美元数字货币
最近,Axie Infinity 侧链 Ronin宣称,他们的验证者节点遭入侵,有黑客窃取了17.3万枚以太坊(ETH)和2550万USDC,总价值约达6.2 亿美元。
Axie Infinity 是目前最成功的区块链游戏之一。其中的Axie是一种NFT 数字宠物的名称,玩家利用这种宠物参与游戏社区的互动。游戏玩家可以使用他们的 Axies 与其他玩家战斗,或是通过开发者的基因算法培育出新的 Axies后代。这些Axies既可以用于战斗,也可以用于出售。不少玩家通过培育Axies获得加密货币收益。2021年,该游戏的创作者筹集了 1.52 亿美元的 B 轮融资,由著名的风险投资基金 Andreessen Horowitz 领投。
Axie Infinity的成功带动了Ronin。Ronin是基于 Axie Infinity(一款基于区块链的战斗养成游戏)社区创建的以太坊侧链。侧链是与以太坊兼容的独立区块链,与以太坊主网并行运行,可以更有效地处理交易。
Ronin 目前采用权威证明 (PoA) 共识模型,这是一种基于信誉的系统,其验证者数量有限且相对集中。验证者“赌注”他们的声誉而不是数字货币,如果验证者发生不良行为者或对网络产生负面影响,验证者可能会失去声誉。
根据周二(3月29日)在Substack网站上名为“Ronin’s Newsltter”的一篇博客,该Ronin的系统遭到黑客袭击,已经不再允许游戏玩家在 Axie Infinity 宇宙中转换资产,以及在以太坊和 Ronin 区块链之间进行换币活动。在 Ronin 网络上保留数字资金的玩家目前无法进行交易。
Ronin的博客称,在3月23日,他们发现了Sky Mavis 的 Ronin 验证器节点和 Axie DAO 验证器节点遭到破坏。
在这次事件中,入侵的黑客使用被黑的私钥,伪造来自 Ronin跨链桥(Ronin Bridge)的两笔交易的虚假提款。到了3月29日,有顾客投诉无法从Ronin中提取以太坊,有用户称,他们尝试提取 5,000 以太币,但是操作失败了。
Ronin跨链桥是帮助用户从钱包中转入Ronin用来购买商品的工具。具体来说,用户可以选择“Deposit with Ronin Bridge”,之后Ronin跨链桥就会打开,并连接到用户的以太坊钱包。
在用户选择Deposit之后,就可以看到能从以太坊转币到Ronin 区块链的选项。在这里就可以可选择将“以太坊中的ETH”转移到Ronin的钱包中。
根据Ronin的说法,虽然 Ronin 侧链有 9 个验证器,需要 5 个签名才能提款,但黑客通过Ronin的无气体 RPC 节点(gas-free RPC)找到了一个后门,并滥用该节点来获取 Axie DAO 验证器的签名。
Ronin表示,这一漏洞源于2021 年 11 月,当时Sky Mavis正在分发免费交易,因为用户负载巨大,所以它请求 Axie DAO 的帮助,Axie DAO 允许 Sky Mavis 代表其签署各种交易。这项合作已于 2021 年 12 月停止,但Axie DAO未撤销许可名单访问权限。
所以一旦攻击者获得了 Sky Mavis 系统的访问权限,他们就能够通过使用无气体 RPC 从 Axie DAO 验证器获取签名。
根据Ronin’s Newsletter的公告,目前,用户暂时无法向 Ronin Network 提款或存入资金。
Ronin称,未来它们会把验证门槛从 5 个签名增加到 8 个,并且正在迁移他们的节点,以便与旧的基础设施完全分离。目前,Ronin跨链和 Katana Dex都已经暂停运行,Binance也禁用了他们与 Ronin 之间的桥梁,Ronin 上的所有 AXS、RON 和 SLP(Axie系列的其他三种代币)现在都是安全的。
根据上述博客文章,大部分被黑客盗取的数字货币仍然在黑客钱包中。Ronin正与政府调查机构联手追击黑客,力图绳之以法。
Scan QR code with WeChat