2024-11-09
Ronin Bridge被盗1200万美元,是小BUG还是大麻烦?
原创 | Odaily星球日报( @OdailyChina )
作者 | Asher( @Asher_ 0210 )
昨日(8 月 6 日)下午,据派盾监测,游戏区块链 Ronin 疑似被黑客攻击,被盗约 4000 枚 ETH 和 200 万 USDC,价值约 1200 万美元。
被盗 4000 枚 ETH
被盗约 200 万枚 USDC
Ronin 竟然又被盗了?各个社区第一时间的反应更多是不敢相信,“大家都在期待 Ronin 生态再次上线像 Pixels 这样的爆款游戏,怎么会在这个时候发生盗窃事件?”更有人开玩笑说:“是不是可以趁机低价买入,毕竟他们不太可能在一年内遭遇两次攻击吧!”
被盗事件在社区中迅速传播后,RON 的价格在原本下跌的趋势中进一步下滑,最低跌至 1.25 美元,短时间内跌幅超 8%。
图源: coingecko
团队第一时间回应:Ronin Bridge 已暂时停用,后续发布更多信息
针对社区关心的 Ronin Bridge 被攻击一事,Ronin COO Psycheout 第一时间在 X 平台发文表示,当我们调查白帽黑客关于潜在 MEV 漏洞的报告时,Ronin Network 桥已暂停。团队将很快发布更多信息,并且强调 Ronin 桥目前安全保障了超过 8.5 亿美元的资金。
Ronin COO 对被盗事件的回应
同时,Ronin 也在 X 平台发文表示,今天早些时候,白帽通知 Ronin 可能存在漏洞。在核实报告后,Ronin 桥在发现第一个链上操作后约 40 分钟暂停。攻击者提取了约 4000 枚 ETH 和 200 万 USDC,价值约 1200 万美元,这是单笔交易提款中可以从桥中提取的最大 ETH 和 USDC 金额,桥接限额是提高大额资金提款安全性的重要保障,并有效防止了此漏洞造成的进一步损害。
Ronin 称,由于桥梁升级在经过治理流程部署后,引入了一个问题,导致跨链桥误解了提取资金所需的桥接运营商投票门槛。目前正在努力寻找根本原因的解决方案,桥接更新将接受严格审核,然后由桥接运营商投票决定是否部署。目前正在与这些看似白帽黑客的行为者进行谈判,他们已经做出了善意回应,无论谈判结果如何,所有用户资金都是安全的,任何短缺资金都将在桥梁开放时重新存入,将在下周分享事后分析结果,其中介绍技术细节和计划措施,以防止将来发生类似事件。
漏洞原因:Ronin Bridge 漏洞系权重被修改为意外值,资金无需多签同意即可提取
在被盗事件发生后,据 Beosin 安全团队分析,此次异常行为的根本原因在于项目方升级合约时,未正常初始化配置跨链交易确认所需的 operator 权重,导致合约中的 minimumVoteWeight 参数为零,从而使得任何人的签名都能通过跨链验证。目前,Ronin bridge 已经流失 3996 枚 ETH,资金存放在 0xc6aec68dd6272efcbc74fb5308fe7f070437465e(该地址是 MEV bot,故推测可能是白帽行为)。
Ronin bridge 漏洞分析
不幸中的万幸,这次 Ronin 上的黑客攻击确实是白帽黑客,根据 Ronin 在 X 平台发布的相关信息,白帽黑客已归还约 1000 万美元的 ETH 以及 200 万枚 USDC,并且表示漏洞赏金计划将奖励白帽 50 万美元的赏金。同时,Ronin 桥接在重新开放前将接受审计,并且会在审计进展时提供最新消息。
确保资金安全始终是首要任务
Ronin 这次的盗窃事件在社区中引发了强烈的负面情绪,原因在于 Ronin 链之前已多次遭遇黑客攻击,进一步加剧了大家对安全问题的敏感和恐慌。幸运的是,此次事件仅涉及白帽黑客的攻击,并且 Ronin 链上的用户资金是安全的。
然而,根据区块链情报公司 TRM Labs 最近发布的报告, 2024 年上半年黑客窃取的加密货币(按美元价值计算)是 2023 年上半年的两倍多。数据显示,截至今年 6 月 24 日,加密货币盗窃总额达 13.8 亿美元,而 2023 年同期为 6.57 亿美元。今年迄今为止的五起最大黑客事件占被盗总金额的 70% 。可以看出,随着 Web3 行业的快速发展,被盗金额显著增加。因此,无论是用户还是项目方,确保资金安全始终是首要任务。对于项目方来说,一次被盗就会导致大量真实用户流失;而对于用户而言,一次被盗可能意味着“一年白干”。