ARK:DeFi“曠世大劫案”塵埃落定 回顧 Ronin 贓款轉移全過程_SHA

今日，Ronin Network 黑客于北京時間 15:32:25 轉出 12595.3 枚以太坊至新地址（0x08723392ed15743cc38513c4925f5e6be5c17243）。至此，Ronin Network 被盜的 17.36 萬枚以太坊已幾乎被全部轉出，原攻擊錢包僅剩余約 1.8 枚以太坊。

于 3 月底發生的針對 Ronin Network 的攻擊事件中，協議被盜金額達到了 6.1 億美元，超過了去年 Poly Network 的 6 億美元成為 DeFi 史上最大黑客攻擊事件。而攻擊者僅是將盜取的資金進行轉移和洗錢就操作了一月有余。下面就來回顧一下這場「曠世大劫案」的贓款轉移以及事件進展。

3 月 29 日，Axie Infinity 專用以太坊側鏈 Ronin Network 在 Twitter 上表示，當天早些時候發現 Sky Mavis 的 Ronin 驗證器節點和 Axie DAO 驗證器節點于 3 月 23 日遭到攻擊，共損失了 17.36 萬枚以太坊和 2550 萬枚 USDC。

3 月 30 日，慢霧發文稱，此次黑客攻擊的資金來源于幣安提幣，且已將 2550 萬枚 USDC 交易為 6250 枚以太坊，并進行了分散轉移，其中 1221 ETH 轉移到了 FTX 和 Crypto.com。

DeFi策略協議Blueberry Protocol上線測試網:據官方消息，DeFi 策略協議 Blueberry Protocol 已上線測試網。

Blueberry Protocol 可為用戶的聚合、對沖、借貸等 DeFi 多步策略提供一鍵式操作。按計劃，該協議將首先上線以太坊主網，隨后上線 L2 網絡。根據官網介紹，該協議還將為早期用戶分配空投。[2023/1/17 11:16:20]

當日晚些時候，黑客再次向 Huobi 轉入 3750 枚以太坊。

DeFi平臺Grizzly.fi在社區啟動儀式上籌集2600萬美元:金色財經報道，DeFi加密平臺Grizzly.fi在社區博覽會啟動儀式上，已經募集了2600萬美元。該公司采用的創新發布策略吸引了許多知名的DeFi投資者。Grizzly.fi平臺經過18個月的開發、規劃和建立伙伴關系后正式上線。此外，Grizzly.fi在2021年9月宣布與瑞士加密谷協會合作。Grizzly.fi團隊將繼續建立他們的生態系統，以加速DeFi的大規模采用，并改善他們的產品供應。（prnewswire）[2022/8/9 12:10:51]

4 月 4 日，黑客從攻擊地址（0x098B716B8Aaf21512996dC57EB0615e2383E2f96）中將 1000 枚以太坊轉入另一個地址（0xbc25d57412a04956CDD95AF07825C5C1F34d29eb），隨后將其中 200 枚以太坊轉入 Tornado Cash。

4 月 5 日，黑客從攻擊地址向新地址（0xdf225c84a0eaeaaac20e6c1d369e94ee13b9df2a）轉入 1526 枚以太坊，并分批轉入 Tornado Cash。

幣安智能鏈DeFi項目AutoShark Finance被黑分析:據慢霧區消息，幣安智能鏈（BSC）DeFi項目AutoSharkFinance被黑，導致代幣價格閃崩。慢霧安全團隊在第一時間跟進分析，并將結果以簡訊的形式分享給大家，供大家參考。由于AutoShark策略池的機制，攻擊者需要事先存入一定數量的LP代幣到策略池中，為后續攻擊做準備，所以整個攻擊其實分成了2步，這里主要分析的是第2筆的攻擊交易。攻擊步驟如下：

1.攻擊者從Pancake的WBNB/BUSD交易對中借出大量WBNB；

2.將第1步借出的全部WBNB中的一半通過Panther的SHARK/WBNB交易對兌換出大量的SHARK，同時池中WBNB的數量增多；

3.將第1步和第2步的WBNB和SHARK打入到SharkMinter中，為后續攻擊做準備；

4.調用AutoShark項目中的WBNB/SHARK策略池中的getReward函數，該函數會根據用戶獲利的資金從中抽出一部分手續費，作為貢獻值給用戶獎勵SHARK代幣，這部分操作在SharkMinter合約中進行操作；

5.SharkMinter合約在收到用戶收益的LP手續費之后，會將LP重新拆成對應的WBNB和SHARK，重新加入到Panther的WBNB/SHARK交易池中；

6.由于第3步攻擊者已經事先將對應的代幣打入到SharkMinter合約中，SharkMinter合約在移除流動性后再添加流動性的時候，使用的是SharkMinter合約本身的WBNB和SHARK余額進行添加，這部分余額包含攻擊者在第3步打入SharkMinter的余額，導致最后合約獲取的添加流動性的余額是錯誤的，也就是說SharkMinter合約誤以為攻擊者打入了巨量的手續費到合約中；

7.SharkMinter合約在獲取到手續費的數量后，會通過tvlInWBNB函數計算這部分手續費的價值，然后根據手續費的價值鑄幣SHARK代幣給用戶。但是在計算LP價值的時候，使用的是PantherWBNB/SHARK池的WBNB實時數量除以LP總量來計算LP能兌換多少WBNB。但是由于在第2步中，Panther池中WBNB的數量已經非常多，導致計算出來的LP的價值非常高；

8.在LP價值錯誤和手續費獲取數量錯誤的情況下，SharkMinter合約最后在計算攻擊者的貢獻的時候計算出了一個非常大的值，導致SharkMinter合約給攻擊者鑄出了大量的SHARK代幣；

9.攻擊者后續通過賣出SHARK代幣來換出WBNB，償還閃電貸。然后獲利離開。[2021/5/25 22:41:58]

4 月 6 日，慢霧發文表示，在 UTC 時間 3 月 31 日 17:49:06 至 4 月 6 日 6:05:58 期間，黑客再度向 Huobi 轉入 1233.9811 枚以太坊，并總計向 Tornado Cash 轉入 4400 枚以太坊。

去中心化金融解決方案RAMP DEFI金庫質押總金額突破1500萬美元:去中心化金融解決方案 RAMP DEFI 金庫質押總金額突破 1500 萬美元，三日內增長 50%。據悉，RAMP DEFI 現已私募代幣已采納為期一年的代幣線性釋放，與原計劃相比，釋放期將延長 25%。

據 CoinGecko 數據顯示，RAMP DEFI 平臺代幣 RAMP 30 日漲幅達 483%，14 日內漲幅達 504%，7 日漲幅達 138%。[2021/1/16 16:20:22]

4 月 7 日，慢霧發文表示，UTC 時間 4 月 6 日 6:19:03 至 4 月 7 日 7:08:59，Ronin Network 攻擊者將 2800 枚以太坊轉入 Tornado Cash。

4 月 8 日，黑客通過中間地址（0x5b0431365ce1ab3693bea6f33ae67653dd30d8bd）將 4800 枚以太坊轉入 Tornado Cash。

幣贏CoinW將于8月18日13:00在DeFi專區上線HAKKA:據官方消息，幣贏CoinW將于8月18日13:00在DeFi專區上線HAKKA/USDT交易對，同時開啟“充值送HAKKA，-0.1%Maker費率”活動。 據悉，Hakka去中心化金融生態系統，包括提供穩定幣自動做市的去中?化交易所 BlackHoleSwap、幫助對沖MakerDao風險的保險機制3F Mutual、質押工具tCDP等。[2020/8/18]

4 月 9 日，黑客向兩個地址（0x1361c1e18930483F4Aaf91f3a263937e4Fcc1f39、0xBCD78C2D608e7cEB3d25Bea30faE8a9D57033868）分別轉入 3002.985 枚以及 3102.6215 枚以太坊，隨后均轉入 Tornado Cash。

4 月 10 日，黑客向 0x1361c1e18930483F4Aaf91f3a263937e4Fcc1f39 轉入 3002 枚以太坊，隨后全部轉入 Tornado Cash。

4 月 12 日，黑客向新地址（0xb2369D20e7f0C46270b9F79ab26Fc62fadA356c7）轉入 2941 枚以太坊，隨后轉入 Tornado Cash。目前該地址仍剩余約 40 枚以太坊。

4 月 13 日，黑客向新地址（0x77532dd2eb6e8eaf416f39c65f48cd2369782828）轉入 3202 枚以太坊，隨后轉入 Tornado Cash。

4 月 14 日，黑客向新地址（0x1Bf53ce80FF2ed5711b8A2DB8f7EA5b38DA118d6）轉入 3302.6 枚以太坊，隨后轉入 Tornado Cash。

4 月 15 日，據《華爾街日報》報道，美國財政部稱與朝鮮政府有關的犯罪集團 Lazarus Group 是此次 Ronin Network 被攻擊中加密貨幣地址的所有者。財政部發言人表示，任何與受制裁錢包進行交易的人都將面臨美國制裁的風險。

同日，PeckShield 在 Twitter 上表示，目前黑客已經從攻擊地址中轉出約 2.8 萬枚以太坊至 Tornado Cash，占總量的 16%。錢包內還剩余約 147753 枚以太坊。

當天晚些時候，黑客再次向新地址（0xBc5639887283eaF1B8E966e0b2fa6998D2ec6404）轉入 2900 枚以太坊，隨后轉入 Tornado Cash。

4 月 18 日，黑客向新地址（0x3cffd56b47b7b41c56258d9c7731abadc360e073）中轉入 10129.9 枚以太坊。

4 月 19 日，黑客向 0x1Bf53ce80FF2ed5711b8A2DB8f7EA5b38DA118d6 轉入 18256.8 枚以太坊。

4 月 21 日，黑客向 0x53b6936513e738f44fb50d2b9476730c0ab3bfc1 轉入 21629 枚以太坊。

4 月 22 日，黑客通過中間地址（0x3cffd56b47b7b41c56258d9c7731abadc360e073）向新地址（0x8fa7b50fc8306ab3de028254df72bf08216742b6）轉入 1528.2 枚以太坊。

4 月 24 日，黑客向新地址（0x35fb6f6db4fb05e6a4ce86f2c93691425626d4b1）轉入 33568 枚以太坊。

4 月 26 日，PeckShield 發文稱，據統計，截止 4 月 26 日，Ronin Network 攻擊者錢包已轉出 65% 的被盜資金，其中 22%（約 39,700 枚以太坊）通過 Tornado Cash 洗錢，約 41% 轉移到 3 個新錢包。

4 月 27 日，黑客向新地址（0x5967524CE3Bc2BC422e584e33bD50921A22e3c0a）轉入 18256.8 枚以太坊。

當日晚些時候，黑客再次向新地址（0xf7b31119c2682c88d88d455dbb9d5932c65cf1be）轉入 25127.5192 枚以太坊。

4 月 28 日，以太坊側鏈 Ronin Network 發布漏洞報告稱，黑客通過對 Sky Mavis 實施網絡釣魚攻擊滲透 Sky Mavis IT 基礎設施并獲得對驗證節點的訪問權限，又通過無 Gas RPC 節點發現了一個后門，并獲取 了 Axie DAO 驗證節點的簽名，從而控制了 5/9 的驗證節點。

Ronin Network 表示，Sky Mavis 當前采取的安全措施包括與安全公司合作建立防御系統、增加驗證節點數量、實施更嚴格的內控程序、進行審計、建立無需信任的組織、啟動漏洞賞金以及進行 ISO27001 和其他安全相關認證。此外，Ronin Network 預計將在 4 月底之前部署升級，并于 5 月正下旬正式開放，所有被盜資金將由最近的 Sky Mavis 融資、Axie Infinity 和 Sky Mavis 資產以及來自核心團隊的個人資金擔保。

4 月 29 日，黑客向新地址（0xDD6458eB5090832eB88BFfc7AdF39B0F3CdD6683）轉入 5000 枚以太坊，隨后轉入 Tornado Cash。

5 月 3 日，黑客于北京時間 16:23:28 向新地址（0x3e37627deaa754090fbfbb8bd226c1ce66d255e9）轉入 23528.8 枚以太坊。

5 月 4 日，也就是今天，黑客完成了最后一筆 12595.3 枚以太坊的轉賬，所有被盜資金已幾乎全數轉移，原攻擊錢包僅剩約 1.8 枚以太坊。

Tags：以太坊SHARKSHAARK以太坊幣今日價格行情分析StarSharksSHARDMARKETING幣

PEPE