Ronin Bridge被盗1200万美元,是小BUG还是大麻烦?
不幸中的万幸,黑客已归被盗资产。
原创 | Odaily星球日报(@OdailyChina)
作者 | Asher(@Asher_ 0210 )
昨日(8 月 6 日)下午,据派盾监测,游戏区块链 Ronin 疑似被黑客攻击,被盗约 4000 枚 ETH 和 200 万 USDC,价值约 1200 万美元。
被盗 4000 枚 ETH
被盗约 200 万枚 USDC
Ronin 竟然又被盗了?各个社区第一时间的反应更多是不敢相信,“大家都在期待 Ronin 生态再次上线像 Pixels 这样的爆款游戏,怎么会在这个时候发生盗窃事件?”更有人开玩笑说:“是不是可以趁机低价买入,毕竟他们不太可能在一年内遭遇两次攻击吧!”
被盗事件在社区中迅速传播后,RON 的价格在原本下跌的趋势中进一步下滑,最低跌至 1.25 美元,短时间内跌幅超 8%。
图源:coingecko
团队第一时间回应:Ronin Bridge 已暂时停用,后续发布更多信息
针对社区关心的 Ronin Bridge 被攻击一事,Ronin COO Psycheout 第一时间在 X 平台发文表示,当我们调查白帽黑客关于潜在 MEV 漏洞的报告时,Ronin Network 桥已暂停。团队将很快发布更多信息,并且强调 Ronin 桥目前安全保障了超过 8.5 亿美元的资金。
Ronin COO 对被盗事件的回应
同时,Ronin 也在 X 平台发文表示,今天早些时候,白帽通知 Ronin 可能存在漏洞。在核实报告后,Ronin 桥在发现第一个链上操作后约 40 分钟暂停。攻击者提取了约 4000 枚 ETH 和 200 万 USDC,价值约 1200 万美元,这是单笔交易提款中可以从桥中提取的最大 ETH 和 USDC 金额,桥接限额是提高大额资金提款安全性的重要保障,并有效防止了此漏洞造成的进一步损害。
Ronin 称,由于桥梁升级在经过治理流程部署后,引入了一个问题,导致跨链桥误解了提取资金所需的桥接运营商投票门槛。目前正在努力寻找根本原因的解决方案,桥接更新将接受严格审核,然后由桥接运营商投票决定是否部署。目前正在与这些看似白帽黑客的行为者进行谈判,他们已经做出了善意回应,无论谈判结果如何,所有用户资金都是安全的,任何短缺资金都将在桥梁开放时重新存入,将在下周分享事后分析结果,其中介绍技术细节和计划措施,以防止将来发生类似事件。
漏洞原因:Ronin Bridge 漏洞系权重被修改为意外值,资金无需多签同意即可提取
在被盗事件发生后,据 Beosin 安全团队分析,此次异常行为的根本原因在于项目方升级合约时,未正常初始化配置跨链交易确认所需的 operator 权重,导致合约中的 minimumVoteWeight 参数为零,从而使得任何人的签名都能通过跨链验证。目前,Ronin bridge 已经流失 3996 枚 ETH,资金存放在 0xc6aec68dd6272efcbc74fb5308fe7f070437465e(该地址是 MEV bot,故推测可能是白帽行为)。
Ronin bridge 漏洞分析
不幸中的万幸,这次 Ronin 上的黑客攻击确实是白帽黑客,根据 Ronin 在 X 平台发布的相关信息,白帽黑客已归还约 1000 万美元的 ETH 以及 200 万枚 USDC,并且表示漏洞赏金计划将奖励白帽 50 万美元的赏金。同时,Ronin 桥接在重新开放前将接受审计,并且会在审计进展时提供最新消息。
确保资金安全始终是首要任务
Ronin 这次的盗窃事件在社区中引发了强烈的负面情绪,原因在于 Ronin 链之前已多次遭遇黑客攻击,进一步加剧了大家对安全问题的敏感和恐慌。幸运的是,此次事件仅涉及白帽黑客的攻击,并且 Ronin 链上的用户资金是安全的。
然而,根据区块链情报公司 TRM Labs 最近发布的报告, 2024 年上半年黑客窃取的加密货币(按美元价值计算)是 2023 年上半年的两倍多。数据显示,截至今年 6 月 24 日,加密货币盗窃总额达 13.8 亿美元,而 2023 年同期为 6.57 亿美元。今年迄今为止的五起最大黑客事件占被盗总金额的 70% 。可以看出,随着 Web3 行业的快速发展,被盗金额显著增加。因此,无论是用户还是项目方,确保资金安全始终是首要任务。对于项目方来说,一次被盗就会导致大量真实用户流失;而对于用户而言,一次被盗可能意味着“一年白干”。
比推快讯
更多 >>- CryptoQuant CEO:支持以太坊基金会的变动,这个行业正处于越界的边缘
- 瑞典数字资产管理公司Virtune上市芬兰首批五个加密货币ETP
- 知情人士:币安高管Tigran被推荐在特朗普政府担任职位
- RWA链上交易操作系统NXT完成820万美元融资
- TON生态去中心化借贷协议EVAA Protocol完成250万美元私募轮融资
- 加密资产管理公司Virtune宣布上市芬兰首批以欧元计价的加密货币ETP
- Story已上线开发者主网,开启公共主网上线前最后阶段
- 特朗普签行政令终止部分出生公民权
- 特朗普签署行政令,退出世卫组织和巴黎气候协定
- 特朗普总统在X平台的账号已激活
- 美国总统特朗普签署关于TikTok的行政令
- 隔夜TRUMP下跌超20%,收于36.47美元
- 加密货币恐惧与贪婪指数维持在76,仍为 “极度贪婪”状态
- 美国总统特朗普签署废除78项拜登时代的行动命令和备忘录
- Vivek Ramaswamy确认将离开政府效率部门:很荣幸能够帮助支持创建DOGE
- TechCrunch:OpenAI代理工具或发布在即
- ARKHAM:特朗普家族加密项目 World Liberty 通过 Lido Finance 质押 4747 枚ETH
- 美民主党议员:TRUMP代表了“最糟糕的加密货币”
- 分析师:美元走低,市场对特朗普的更多反应有待显现
- 马斯克喜提白宫邮件地址,并可能在白宫拥有办公室
- Arthur Hayes:我认为特朗普不会着手建立比特币储备
- 美国白宫:Mark Uyeda将担任美SEC代理主席
- 特朗普再登《时代》杂志封面
- 过去 24 小时内加密市场爆仓额超 12 亿美元,多单为主
- Coinbase将上线Official Trump (TRUMP) 代币
- 以太坊基金会拨款5万枚ETH参与DeFi生态,已在Aave上进行测试交易
- 赵长鹏:一个新的时代开始了
- 特朗普加密项目WLFI过去4小时增持价值约4700万美元比特币
- 美CFTC新任代理主席Caroline Pham发表声明感谢特朗普
- 特朗普就任总统后,马斯克领导的政府效率部遭遇3起诉讼
- 过去1小时全网爆仓2.04亿美元,主爆多单
- BTC跌破101,000美元
- 特朗普就职演讲中未提及加密货币
- Arkham:特朗普宣誓就职后其家族加密项目WLFI买入470万美元的比特币
- 特朗普:将指示内阁打击创纪录的通胀
- BTC短线拉升突破105,000美元
- 特朗普:美国的黄金时代现在开始
- ETH跌破3300美元
- BTC跌破102,000美元
- 美国当选总统特朗普宣誓就职,正式成为第47任美国总统
- 万斯正式宣誓就职美国副总统
- 特朗普将于十分钟后宣誓就职美国总统
- 美SEC发布关于 Gary Gensler离职的声明
- 比特币短时突破10.7万美元
- 彭博社:特朗普将提名Caroline Pham为CFTC代理主席
- 特朗普任命的政客将被审查是否与加密行业存在潜在利益冲突,一些人已经承诺出售持仓
- 英伟达 CEO 黄仁勋缺席特朗普就职典礼,在华称要继续与中国合作
- Vitalik:个人反对以太坊基金会通过服务提供商进行 ETH 质押,支持独立质押
- Linea:47.6 万个女巫攻击地址将无法获得 LXP 代币空投
- 意大利议员:意大利在未来几个月内尚不具备建立比特币储备的条件