來源:Ronin博客
編譯:胡韜,鏈捕手
關鍵點
Ronin橋被盜173,600ETH和2550萬USDC。
Ronin橋和KatanaDex已經停止使用。
我們正在與執法人員、密碼學家和投資者合作,以確保所有資金都得到追回或報銷。Ronin上的所有AXS、RON和SLP目前都是安全的。
今天早些時候,我們發現在3月23日,SkyMavis的Ronin驗證器節點和AxieDAO驗證器節點遭到破壞,導致在兩筆交易中從Ronin橋接了173,600個以太坊和2550萬美元的USDC。攻擊者使用被盜的私鑰來偽造假提款。我們今天早上在報告用戶無法從跨鏈橋中提取5000ETH后發現了這次攻擊。?
波場TRON首個RWA產品stUSDT總質押量突破兩億美金:據官方消息,7月13日,官網數據顯示,stUSDT總質押量已達到213,892,751USDT,正式突破兩億美金,APY高達4.22%。
據悉,stUSDT是波場TRON生態中首個RWA(真實世界資產)賽道產品,現已通過去中心化平臺JustLend DAO運行。stUSDT平臺致力于通過智能合約在個人與機構投資者、加密世界與現實世界之間架設橋梁,提供面向所有人的更公平的 RWA 投資渠道。[2023/7/13 10:52:30]
有關攻擊的詳細信息
SkyMavis的Ronin鏈目前由9個驗證節點組成。為了識別存款事件或取款事件,需要九個驗證者簽名中的五個。攻擊者設法控制了SkyMavis的四個Ronin驗證器和一個由AxieDAO運行的第三方驗證器。?
Justin Sun:波場TRON將為ChatGPT提供去中心化支付框架:2月4日消息,波場TRON創始人、火必Huobi全球顧問委員會成員Justin Sun在社交媒體上發文表示,波場TRON將為AI系統Chat GPT提供去中心化支付框架,框架涵蓋鏈上智能合約體系、支付層協議、底層調用SDK和AI支付網關。[2023/2/5 11:47:51]
驗證器密鑰方案被設置為去中心化的,因此它限制了與此類似的攻擊方向,但攻擊者通過我們的無gasRPC節點發現了一個后門,他們濫用該后門來獲取AxieDAO驗證器的簽名。??
這可以追溯到2021年11月,當時SkyMavis請求AxieDAO幫助分發免費交易,因為用戶負載巨大。AxieDAO允許SkyMavis代表其簽署各種交易。這已于2021年12月停止,但未撤銷許可名單訪問權限。?
Ronin網絡硬分叉升級完成,將發布新版Ronin移動端錢包:據官方消息,Ronin升級完成,要求所有驗證者更新軟件的Ronin硬分叉已經成功完成。Ronin Bridge將按計劃于今天開放。
此外,Axie Infinity開發者將發布新版Ronin移動端錢包。用戶將收到ERC20代幣余額變化的通知,并且可以查看ERC721網絡代幣。
據此前報道,Ronin Network表示,將于6月28日重啟Ronin Bridge并退還所有用戶資金。重啟Ronin Bridge需要Ronin Network進行硬分叉,目前已告知驗證者對驗證節點進行升級。[2022/6/28 1:36:37]
一旦攻擊者獲得了SkyMavis系統的訪問權限,他們就能夠通過使用無gasRPC從AxieDAO驗證器獲取簽名。?
Ronin攻擊者相關地址7次陸續轉出超 2.3萬枚ETH:據歐科云鏈鏈上天眼監測顯示,Ronin Network 攻擊者相關地址(12 天前由攻擊者地址轉入23528 枚)于北京時間 5 月 18日 10:33:32 轉出地址下5505.7枚 ETH,當前地址余額基本清零。據OKLink ETH瀏覽器顯示,該相關地址從5月14日17:06:07開始,陸續轉出7次,累計轉出23,525.5枚ETH(約4900萬美元),轉出后再以100 枚 ETH/筆的數量轉入Tornado.Cash。[2022/5/18 3:24:00]
我們已確認惡意提款中的簽名與五個可疑驗證者相符。
所采取的行動
事件一經曝光,我們便迅速采取行動,并積極采取措施防范未來的攻擊。為了防止進一步的短期損害,我們將驗證人門檻從5個增加到8個。
我們正在與主要交易所的安全團隊保持聯系,并將在未來幾天內與所有人聯系。?
我們正在遷移我們的節點,這與我們的舊基礎設施完全分離。
我們暫時暫停了RoninBridge,以確保沒有進一步的攻擊方向保持開放。Binance還禁用了他們與Ronin之間的橋梁,以謹慎起見。一旦我們確定沒有資金可以耗盡,這座橋將在以后開放。?
由于無法套利和向RoninNetwork存入更多資金,我們暫時禁用了KatanaDEX。?
我們正在與Chainalysis合作監控被盜資金。?
下一步?
我們正在與各個政府機構直接合作,以確保將罪犯繩之以法。?
我們正在與AxieInfinity/SkyMavis利益相關者討論如何最好地推進并確保沒有用戶的資金損失。?
SkyMavis長期存在,并將繼續建設。?
社區問答
為什么驗證者閾值只有5個?
最初,SkyMavis選擇了9個閾值中的5個,因為有些節點沒有趕上鏈,或者卡在同步狀態。展望未來,門檻將是九分之八。隨著時間的推移,我們將在加快的時間線上擴展驗證器集。
現在資金在哪里??
大部分被盜資金仍在黑客錢包中:https://etherscan.io/address/0x098b716b8aaf21512996dc57eb0615e2383e2f96
這怎么發生的?
我們正在進行徹底調查。?
五個驗證者私鑰被盜:4個SkyMavis驗證器和1個AxieDAO。
驗證器密鑰方案設置為去中心化,以限制此類攻擊方向,但攻擊者通過我們的無gasRPC節點發現了一個后門,他們濫用該后門來獲取AxieDAO驗證器的簽名。??
這可以追溯到2021年11月,當時AxieDAO驗證器被列入分發免費交易的許可名單。這已于2021年12月停止,但AxieDAO驗證器IP仍在許可名單上。?
一旦攻擊者獲得了SkyMavis系統的訪問權限,他們就能夠通過使用無gasRPC從AxieDAO驗證器獲取簽名。?
我們已經確認惡意提款中的簽名與五個疑似驗證者相符。
我使用Ronin安全嗎?
正如我們所看到的,Ronin也不能幸免于難,這次攻擊強化了優先考慮安全性、保持警惕和減輕所有威脅的重要性。我們知道需要贏得信任,并且正在利用我們掌握的所有資源來部署最復雜的安全措施和流程,以防止未來的攻擊。?
為什么我們現在會收到有關違規的通知??
SkyMavis團隊于3月29日發現了安全漏洞,此前有報道稱用戶無法從跨鏈橋中提取5000ETH。
Ronin的資金有風險嗎?
Ronin上的ETH和USDC存款已從橋接合約中全部被盜。我們正在與執法人員、密碼學家和我們的投資者合作,以確保不會損失用戶資金。這是我們現在的首要任務。
Ronin上的所有AXS、RON和SLP目前都是安全的。
這對于在RoninNetwork上擁有資金的用戶意味著什么?
截至目前,用戶無法向RoninNetwork提款或存入資金。SkyMavis致力于確保收回或償還所有耗盡的資金。
作者:D-TigerResearch 前言 在2022-03-16至03-23期間,$ETC從25.6USD上漲至最高48.04USD,漲幅達到87.65%,成為最近為數不多表現亮眼的加密貨幣.
1900/1/1 0:00:00來源:Greylock博客 編譯:餅干,鏈捕手 隨著互聯網下一階段的快速發展,Web3與以往時代不同的核心原則是什么,它是如何受到人性深處的影響?此外,從早期汲取的經驗教訓是如何引導科技進步.
1900/1/1 0:00:00原文作者:BenGiove,Banklesshq編譯:Katie辜,星球日報在加密領域,“smartmoney”不一定是對沖基金或資產管理公司,也可能是?DAO.
1900/1/1 0:00:00原文標題:《去中心化身份:通往Web3的護照》撰文:AmberGroup 翻譯:ETH中文站 互聯網沒有給用戶提供原生的身份層,因此變成了由網站和應用來發放數字身份.
1900/1/1 0:00:00原作者:KyleSamani,MulticoinCapital聯合創始人原標題:《RebundlingTheAudioValueChain》文章翻譯:Blockunicorn在Napster出現.
1900/1/1 0:00:00原文標題:《CryptoPunksvsBAYC,WhowontheBlueChipBattle?》原文來源:NFTGo微信公眾號上周.
1900/1/1 0:00:00