前言
Ronin是新加坡游戲工作室SkyMavis開發的,是為支持游戲AxieInfinity而構建的以太坊側鏈,使得用戶能夠自由地將資產轉移到其他鏈上。
北京時間2022年3月29日,RoninNetwork官方發布聲明稱RoninBridge遭到入侵,損失了173600枚ETH和價值2550萬美元的USDC。
知道創宇區塊鏈安全實驗室第一時間跟蹤本次事件。
波場TRON用戶數突破6800萬:2021年12月23日,根據TRONSCAN最新數據顯示,波場TRON賬戶總數達到68,068,896,正式突破6800萬!波場TRON各項數據穩中前進, 波場TRON生態逐漸強大的同時,也將迎來更多交易量。[2021/12/23 7:58:46]
分析 | 慢霧發布TronBank “假幣攻擊”手法技術分析:TRC10 是 TRON 區塊鏈本身支持的技術代幣標準,沒有 TRON 虛擬機(TVM)。TRC10 提供了 2 個新參數:tokenValue、tokenId,msg.tokenvalue 表示當前 msg 調用中的標記值,默認值為 0。 msg.tokenid 表示當前 msg 調用中的標記 id,默認值為 0。tokenId 也是 Odyssey_v3.2 中的新功能。它可以在帳戶中名為 assetV2 的新地圖字段中找到。 使用 GetAccount(Account)獲取 tokenId 及其值。 TokenId 由系統從數字 1_000_001 開始設置。 創建新的 TRC10 代幣時,數字加 1 并設置此代幣的 ID。
TronBank 合約在 invest 函數內沒有判斷 msg.tokenid 導致任意的代幣(假幣)轉入,合約都以為是真幣 BTT。然后攻擊者再調用 withdraw 從合約中提取真幣 BTT。[2019/4/11]
基礎信息
動態 | Blockchain Cuties將上線Tron Arcade:據btcmanager報道,廣受歡迎的加密收藏游戲Blockchain Cuties將于12月28日正式在Tron Arcade上推出,將成為第一個在該平臺上推出的全功能游戲DAPP。[2018/12/28]
攻擊者地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96
tx1:0xc28fad5e8d5e0ce6a2eaf67b6687be5d58113e16be590824d6cfa1a94467d0b7
tx2:0xed2c72ef1a552ddaec6dd1f5cddf0b59a8f37f82bdda5257d9c7c37db7bb9b08
事件概述
據目前官方發出的聲明稱,攻擊者使用被黑客入侵的私鑰來偽造虛假的提款。直到29日早上,一名用戶無法從橋上提取5kETH而向Ronin官方報告之后,才發現了這次攻擊。目前Ronin橋和KatanaDex已經停止,官方也將驗證器閾值從5個提高到了8個。
Ronin鏈目前由9個驗證器節點組成。為了識別存款事件或提款事件,需要九個驗證者簽名中的五個。攻擊者設法控制了SkyMavis的四個Ronin驗證器和由AxieDAO運行的第三方驗證器。驗證器密鑰方案是分散設置的,以此來限制類似于此次的攻擊,但攻擊者發現了Ronin的無GasRPC節點的后門,從而獲取了AxieDAO驗證器的簽名。
此次事件由來可以追溯到2021年11月,當時AxieDAO驗證器被允許分發免費交易。這已于2021年12月停止,但AxieDAO驗證器IP仍在允許列表中。一旦攻擊者訪問了SkyMavis系統,便能夠通過無GasRPC從AxieDAO驗證器獲得簽名。
目前Ronin官方已經確認惡意提款中的簽名與五個可疑的驗證者相匹配。
總結
本次攻擊事件核心是私鑰泄露而導致的,雖然官方宣稱私鑰泄露是因為社會工程,但官方在攻擊發生一周后才公開此次事件,理由難免有些牽強,很難不使人猜想項目人員監守自盜的可能。
在此提醒項目方發布項目后一定要將私鑰嚴密保管,謹防網絡釣魚,另外,近期,各類合約漏洞安全事件頻發,合約審計、風控措施、應急計劃等都有必要切實落實。
Manta/Calamari的社區朋友們好!非常感謝大家對于Dolphin測試網V1版本的支持。我們收到了很多有建設性的反饋,并根據這些反饋對產品進行了改進.
1900/1/1 0:00:00https://doraresear.ch/2022/04/30/light-weight-maci-anonymization/ 更多閱讀: 1.
1900/1/1 0:00:00過去的一周,波場TRON項目進展順利,為滿足波場TRON全球社區愛好者閱讀,本周周報共分為14種語言,請您選擇閱讀.
1900/1/1 0:00:00程序維護中的一個基本問題是——缺陷修復總會以%的機率引入新的bug。所以整個過程是前進兩步,后退一步.
1900/1/1 0:00:00DAO與元宇宙 許多個體在社交應用程序和區塊鏈中集體組織起來,以便追求共同目標和利益,這一過程中形成的去中心化自治組織通常被稱為DAO.
1900/1/1 0:00:00互聯網的歷史 Web2.0在信息消費和內容創建等方面貢獻了無與倫比的經濟增長,代表了人類進化的重要時代,新的工作方式、消費者信息和人類文明的進步;而Web3.0被譽為由創造者經濟推動的技術范式.
1900/1/1 0:00:00