Ronin Network被黑 一图详解6.1亿美元“何去何从”

在加密世界中,私钥管理和保持私钥安全性,一直是个重要的话题。

近日,当下最流行的NFT游戏Axie Infinity侧链Ronin Network受到黑客攻击,造成价值约6.1亿美金的加密货币被盗。其中攻击者窃取了17.36万枚ETH以及2550万枚USDC。

值得一提的是,该攻击于3月23日就已发生,但是5天后才因用户报告无法提取5000 ETH而发现该攻击。

Axie Infinity是一款类似口袋妖怪的游戏,玩家可以在游戏中赚取加密货币;Ronin Network则是为了实现高Transactions Per Second (TPS)并且让用户有更流畅游戏体验而开发的侧链;Ronin Bridge 协助将加密货币转入和转出 Ronin Network;它们同属Sky Mavis运营。

Cobo推出DeFi as a Service产品Cobo Argus:金色财经消息,Cobo团队宣布推出DeFi as a Service产品Cobo Argus,Cobo Argus是一种全新的服务形式,目的是帮助机构团队和DAO组织高效并安全地访问链上DeFi协议。

据官方介绍,Cobo Argus可以在三种环境中实现:集中式(托管)平台、智能合约平台和专用区块链(支持跨链、跨层的资产管理和协议交互)。Cobo Argus根据机构用户团队成员所扮演的不同角色,比如交易员、流动性矿工、基金管理人、会计、财务人员等,授予与其职位相当的权力,将整体资产的控制权分层。[2022/8/4 5:21:48]

为了识别存款及取款事件,Ronin需要验证九个验证节点中的五个签名。而攻击者黑了4个Sky Mavis的私钥,制造了5个合法的签名,即:4 个 Sky Mavis 验证器和 1 个 Axie DAO运行的第三方验证器产生的签名。

Sky Mavis的私钥被入侵后,攻击者利用签名来制造“提款证明”。而在该漏洞发生后,Sky Mavis已决定将所需验证节点签名增加至8个。

节点验证虽已去中心化,但黑客却发现了gas-free RPC的一个后门。

早在2021年11月的一次Axie DAO活动中,Axie DAO赋予了Sky Mavis代表其签署交易的权限。但该权限后续并未被撤销。

即:攻击者一旦获得了Sky Mavis的访问权限,即可通过gas-free RPC获得Axie DAO的签名。

在此, CertiK利用CertiK Skytrace总结了一份资金流动去向图:

此次事件是由于私钥管理不善而造成的。

CertiK在此提醒用户和项目方管理私钥的重要性。

Sky Mavis在项目中应用了多签来避免单点故障,这是安全方面的一大进步。多签指的是需要多个密钥来授权交易,而不是一个密钥的单一签名。

然而早期活动期间发放的权限未被撤销,从而令黑客有机可乘。因此切记在事件或功能完成后撤销允许列表以及白名单访问是非常重要的。

参考链接:

https://roninblockchain.substack.com/p/community-alert-ronin-validators?s=w 

https://rekt.news/ronin-rekt/

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块分享

SHIBNFT如何更好地进行价值捕获

NFT原发于金融领域,在加密货币早期,FT的金融属性带来来圈内最早一波的非原教旨群体(加密朋克)。然而很长一段时间,其他领域的从业者都只是一只脚跨进来的姿势,犹豫不决。今年NFT的火热如刀砍斧劈般趟开了树在他们前面的障碍,蔚然成风。拍卖行每天都有拍出各种各样的作品,各种运动员、时尚歌手、品牌也都争相推出自己的NFT。

BNB金色早报 | 全国首笔数字人民币支付工程款项从苏州发出

头条 ▌全国首笔数字人民币支付工程款项从苏州发出 金色财经报道,三笔项目工程款通过数字人民币在苏州成功发放。这是目前国内首笔数字人民币支付工程款项的结算交易,实现了数字金融产业与建设项目的深度融合。付款方苏州高铁新城国有资产控股(集团)有限公司通过中国工商银行数字人民币对公钱包,对苏州保融建设项目管理有限公司的代建费用进行支付。

Bitcoin深入研究用户拥有的互联网:第二部分

Web3旨在赋予网络中的任何参与者自治的权力和控制权,但要去除中介,我们需要将网络层与应用层分开的方法,进入数据中心。 社会已经变得依赖数据,我们的经济正日益成为数据经济。然而,这种经济目前依赖于少数几个数据孤岛:出于竞争原因,大型科技垄断企业将我们的数据保密。在本文中,我将介绍分散数据层--这是理解Web3用例的先决条件概念。

DOGE新的一年 Web3将会如何发展?

Web3这个专业名词诞生于2014年,一开始,它被用来描述实现去中心化共识的新型协议。如今,它已经成为了对公链生态、应用程序甚至设计理念的统称。 虽然Web3的概念在2021年席卷了大部分技术领域,但它至今并未成熟,目前是由平台、产品和服务的具体例子来定义。 许多行业人士表示,Web3将在2022年经历可观的增长。

[0:0ms0-0:484ms