RON:Ronin安全事件分析

前言

Ronin是新加坡游戲工作室SkyMavis開發的，是為支持游戲AxieInfinity而構建的以太坊側鏈，使得用戶能夠自由地將資產轉移到其他鏈上。

北京時間2022年3月29日，RoninNetwork官方發布聲明稱RoninBridge遭到入侵，損失了173600枚ETH和價值2550萬美元的USDC。

知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件。

Binance已將TRON（TRX）網絡的提現手續費恢復至之前水平:最新官方公告顯示，幣安已于北京時間2月11日22:30起，將波場TRON（TRX）網絡的提現手續費恢復至之前的水平。幣安與TRON（TRX）項目團隊已達成降低TRON（TRX）網絡提現手續費的方案。

TRON DAO也確認了這條信息，表示TRON DAO社區已與幣安團隊合作，以降低波場TRON網絡上的充提費用。

2月12日，波場TRON創始人、火必Huobi全球顧問委員會成員孫宇晨轉發了幣安官方公告推特，稱之為“振奮人心的消息！”。“我們已與幣安達成協議，降低波場TRON?網絡上的交易費用，讓每個人都能負擔得起加密貨幣交易。這種合作的目標是推動加密貨幣的大規模采用并增加每個人的可訪問性。”孫宇晨說。

孫宇晨同時表示，隨著交易費用的降低，人們可以更輕松地使用加密貨幣，而不必擔心高昂的成本。波場TRON一直在努力使網絡更快、更高效并為所有人所用。“我們很高興通過與幣安的合作將這一激動人心的發展帶入波場TRON網絡，我們期待看到它對加密社區的影響。”孫宇晨說。[2023/2/12 12:02:03]

基礎信息

波場TRON五幣齊挖世紀挖礦活動（第二期）正式開啟:據波場TRON官方最新消息，波場TRON五幣齊挖世紀挖礦活動（第二期）已經震撼開啟，活動時間為4月5日21:00-5月3日20:59 (SGT）。第二期力度將再次提升，WBTT Lend池的倍速從8倍提升至16倍，WBTT-TRX LP池的倍速從28倍提升至42倍。

世紀挖礦招標也在持續進行中，波場TRON誠邀廣大社區項目方積極參與。最高總補貼每日100萬美金等值的TRX、BTT、JST、SUN、WIN。招標郵箱：CenturyMining@sun.io 。世紀挖礦相關平臺：SUN.io、JustLend.org 、JustSwap.org。世紀挖礦支持錢包：TronLink、TokenPocket、imToken、BitKeep等。[2021/4/3 19:43:39]

攻擊者地址：0x098B716B8Aaf21512996dC57EB0615e2383E2f96

動態 | 白帽黑客平臺HackerOne2018年贏得漏洞賞金近百萬美元:安全漏洞監測平臺HackerOne發布其最新統計數據。數據顯示，2108年，該平臺通過發現并處理加密相關漏洞，獲得了近百萬美元的BUG賞金。在賞金來源方面，Block.one發放的賞金占今年獎金總額的60%，而排名第二的是Coinbase。[2019/1/1]

tx1：0xc28fad5e8d5e0ce6a2eaf67b6687be5d58113e16be590824d6cfa1a94467d0b7

tx2:0xed2c72ef1a552ddaec6dd1f5cddf0b59a8f37f82bdda5257d9c7c37db7bb9b08

事件概述

據目前官方發出的聲明稱，攻擊者使用被黑客入侵的私鑰來偽造虛假的提款。直到29日早上，一名用戶無法從橋上提取5kETH而向Ronin官方報告之后，才發現了這次攻擊。目前Ronin橋和KatanaDex已經停止，官方也將驗證器閾值從5個提高到了8個。

Ronin鏈目前由9個驗證器節點組成。為了識別存款事件或提款事件，需要九個驗證者簽名中的五個。攻擊者設法控制了SkyMavis的四個Ronin驗證器和由AxieDAO運行的第三方驗證器。驗證器密鑰方案是分散設置的，以此來限制類似于此次的攻擊，但攻擊者發現了Ronin的無GasRPC節點的后門，從而獲取了AxieDAO驗證器的簽名。

此次事件由來可以追溯到2021年11月，當時AxieDAO驗證器被允許分發免費交易。這已于2021年12月停止，但AxieDAO驗證器IP仍在允許列表中。一旦攻擊者訪問了SkyMavis系統，便能夠通過無GasRPC從AxieDAO驗證器獲得簽名。

目前Ronin官方已經確認惡意提款中的簽名與五個可疑的驗證者相匹配。

總結

本次攻擊事件核心是私鑰泄露而導致的，雖然官方宣稱私鑰泄露是因為社會工程，但官方在攻擊發生一周后才公開此次事件，理由難免有些牽強，很難不使人猜想項目人員監守自盜的可能。

在此提醒項目方發布項目后一定要將私鑰嚴密保管，謹防網絡釣魚，另外，近期，各類合約漏洞安全事件頻發，合約審計、風控措施、應急計劃等都有必要切實落實。

Tags：RONTROtronONITORONTOPatron888Tronpoloniex交易平臺app

ADA