來源:Ronin博客
編譯:胡韜,鏈捕手
關鍵點
Ronin橋被盜173,600ETH和2550萬USDC。
Ronin橋和KatanaDex已經停止使用。
我們正在與執法人員、密碼學家和投資者合作,以確保所有資金都得到追回或報銷。Ronin上的所有AXS、RON和SLP目前都是安全的。
今天早些時候,我們發現在3月23日,SkyMavis的Ronin驗證器節點和AxieDAO驗證器節點遭到破壞,導致在兩筆交易中從Ronin橋接了173,600個以太坊和2550萬美元的USDC。攻擊者使用被盜的私鑰來偽造假提款。我們今天早上在報告用戶無法從跨鏈橋中提取5000ETH后發現了這次攻擊。
Iron Fish:社區流傳的代幣獎勵計算方法并不準確:金色財經報道,隱私網絡Iron Fish發推稱:“我們了解到社區中正在流傳一個非官方版本的(代幣)獎勵計算方法,該方法并不準確,用戶不應以此為參照。隨著主網的臨近,我們將分享更多關于獎勵的信息。”[2023/3/2 12:37:23]
有關攻擊的詳細信息
SkyMavis的Ronin鏈目前由9個驗證節點組成。為了識別存款事件或取款事件,需要九個驗證者簽名中的五個。攻擊者設法控制了SkyMavis的四個Ronin驗證器和一個由AxieDAO運行的第三方驗證器。
驗證器密鑰方案被設置為去中心化的,因此它限制了與此類似的攻擊方向,但攻擊者通過我們的無gasRPC節點發現了一個后門,他們濫用該后門來獲取AxieDAO驗證器的簽名。
Stronghold公布一項去杠桿化交易以減少債務并加強資產負債表:1月3日消息,比特幣礦企Stronghold Digital Mining宣布,與公司經修訂和重述的10%票據持有人簽訂交易協議,所有約1790萬美元的根據票據到期應計的未償付債務本金和利息將被清償,換取面值約為2310萬美元的新可轉換優先股(C系列優先股)。C系列優先股將以每股0.40美元的轉換價格轉換為公司A類普通股的股份,或可以為A類普通股股份行使的預融資認股權證。根據交易協議,最遲交易完成日期為2023年2月20日。
截至2022年12月31日,Stronghold手頭約有1240萬美元的無限制現金和約6枚比特幣。(Globenewswire)[2023/1/3 9:49:51]
這可以追溯到2021年11月,當時SkyMavis請求AxieDAO幫助分發免費交易,因為用戶負載巨大。AxieDAO允許SkyMavis代表其簽署各種交易。這已于2021年12月停止,但未撤銷許可名單訪問權限。
波場TRON DeFi總鎖倉值(TVL)已達到143億美金:4月5日消息,波場TRON DeFi總鎖倉值(TVL)已達到143億美金,再創新高。據悉,波場TRON官方升級了總鎖倉值(TVL)的算法:TRX的總凍結量等于能量和帶寬之和,其中包括給超級代表投票凍結TRX獲得的能量和帶寬。[2021/4/5 19:47:30]
一旦攻擊者獲得了SkyMavis系統的訪問權限,他們就能夠通過使用無gasRPC從AxieDAO驗證器獲取簽名。
我們已確認惡意提款中的簽名與五個可疑驗證者相符。
所采取的行動
事件一經曝光,我們便迅速采取行動,并積極采取措施防范未來的攻擊。為了防止進一步的短期損害,我們將驗證人門檻從5個增加到8個。
動態 | EOS/ETH/TRON?Dapps周交易額環比上周均呈下降趨勢:據RatingDapp和RatingToken大數據監測顯示,最近一周,EOS/ETH/TRON三大主流公鏈平臺Dapps活躍用戶分別為:EOS 169519,環比上周上漲3.25%;ETH 77608,環比上漲31.92%;TRON 102381,環比下降6.92%,為近一個月來最低。從周交易額來看,三大公鏈Dapps周交易額環比上周均呈下降趨勢,其下降比例分別為:EOS (-4.95%)、ETH(-7.32%)、TRON(-7.77%)。[2019/5/31]
我們正在與主要交易所的安全團隊保持聯系,并將在未來幾天內與所有人聯系。
我們正在遷移我們的節點,這與我們的舊基礎設施完全分離。
我們暫時暫停了RoninBridge,以確保沒有進一步的攻擊方向保持開放。Binance還禁用了他們與Ronin之間的橋梁,以謹慎起見。一旦我們確定沒有資金可以耗盡,這座橋將在以后開放。
由于無法套利和向RoninNetwork存入更多資金,我們暫時禁用了KatanaDEX。
我們正在與Chainalysis合作監控被盜資金。
下一步
我們正在與各個政府機構直接合作,以確保將罪犯繩之以法。
我們正在與AxieInfinity/SkyMavis利益相關者討論如何最好地推進并確保沒有用戶的資金損失。
SkyMavis長期存在,并將繼續建設。
社區問答
為什么驗證者閾值只有5個?
最初,SkyMavis選擇了9個閾值中的5個,因為有些節點沒有趕上鏈,或者卡在同步狀態。展望未來,門檻將是九分之八。隨著時間的推移,我們將在加快的時間線上擴展驗證器集。
現在資金在哪里?
大部分被盜資金仍在黑客錢包中:https://etherscan.io/address/0x098b716b8aaf21512996dc57eb0615e2383e2f96
這怎么發生的?
我們正在進行徹底調查。
五個驗證者私鑰被盜:4個SkyMavis驗證器和1個AxieDAO。
驗證器密鑰方案設置為去中心化,以限制此類攻擊方向,但攻擊者通過我們的無gasRPC節點發現了一個后門,他們濫用該后門來獲取AxieDAO驗證器的簽名。
這可以追溯到2021年11月,當時AxieDAO驗證器被列入分發免費交易的許可名單。這已于2021年12月停止,但AxieDAO驗證器IP仍在許可名單上。
一旦攻擊者獲得了SkyMavis系統的訪問權限,他們就能夠通過使用無gasRPC從AxieDAO驗證器獲取簽名。
我們已經確認惡意提款中的簽名與五個疑似驗證者相符。
我使用Ronin安全嗎?
正如我們所看到的,Ronin也不能幸免于難,這次攻擊強化了優先考慮安全性、保持警惕和減輕所有威脅的重要性。我們知道需要贏得信任,并且正在利用我們掌握的所有資源來部署最復雜的安全措施和流程,以防止未來的攻擊。
為什么我們現在會收到有關違規的通知?
SkyMavis團隊于3月29日發現了安全漏洞,此前有報道稱用戶無法從跨鏈橋中提取5000ETH。
Ronin的資金有風險嗎?
Ronin上的ETH和USDC存款已從橋接合約中全部被盜。我們正在與執法人員、密碼學家和我們的投資者合作,以確保不會損失用戶資金。這是我們現在的首要任務。
Ronin上的所有AXS、RON和SLP目前都是安全的。
這對于在RoninNetwork上擁有資金的用戶意味著什么?
截至目前,用戶無法向RoninNetwork提款或存入資金。SkyMavis致力于確保收回或償還所有耗盡的資金。
Web3這個專業名詞誕生于2014年,一開始,它被用來描述實現去中心化共識的新型協議。如今,它已經成為了對公鏈生態、應用程序甚至設計理念的統稱.
1900/1/1 0:00:00據問董秘報道,3月27日,正元數據在回答提問時表示,公司參與了杭州亞運會部分場館的信息化建設及服務保障工作,正積極參與杭州亞運會數字人民幣和元宇宙數字人的創新應用場景構造.
1900/1/1 0:00:00尊敬的XT.COM用戶:XT.COM作為致力於為全球優質的數字資產提供優質服務的交易平臺。平臺會定期對已上線的幣種進行綜合性審核,以確保平臺幣種的高水準交易.
1900/1/1 0:00:00虎符IOS正式版APP,需要登陸IOS海外賬號才能在AppStore中下載,這篇文章教大家注冊一個非常穩定的美區AppleID.
1900/1/1 0:00:00親愛的大幣網(Dcoin)用戶:大幣網(Dcoin)3月27日00:00(UTC8)將會恢復充值,暫停期間給您帶來的不便,敬請諒解.
1900/1/1 0:00:00原文作者:Messari分析師ChiaJengYang 原文編譯:DeFi之道 2016年,UnionSquareVentures的JoelMonegro發表了一篇開創性的論文.
1900/1/1 0:00:00