知道创宇区块链安全实验室|Ronin 安全事件分析

最新推荐文章于 2024-07-24 14:44:57 发布
最新推荐文章于 2024-07-24 14:44:57 发布
阅读量169 收藏
点赞数
文章标签: 区块链 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/SierraW/article/details/123853606
版权

前言

Ronin 是新加坡游戏工作室 Sky Mavis 开发的,是为支持游戏 Axie Infinity 而构建的以太坊侧链,使得用户能够自由地将资产转移到其他链上。

北京时间2022年3月29日,Ronin Network官方发布声明称 Ronin Bridge 遭到入侵,损失了173600 枚ETH(价值约5.9亿美元)和价值2550万美元的USDC。

知道创宇区块链安全实验室 第一时间跟踪本次事件。

在这里插入图片描述

基础信息

攻击者地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96

tx1:0xc28fad5e8d5e0ce6a2eaf67b6687be5d58113e16be590824d6cfa1a94467d0b7

tx2:0xed2c72ef1a552ddaec6dd1f5cddf0b59a8f37f82bdda5257d9c7c37db7bb9b08

事件概述

据目前官方发出的声明称,攻击者使用被黑客入侵的私钥来伪造虚假的提款。直到29日早上,一名用户无法从桥上提取5k ETH 而向 Ronin 官方报告之后,才发现了这次攻击。目前 Ronin 桥和 Katana Dex 已经停止,官方也将验证器阈值从5个提高到了8个。

Ronin 链目前由9个验证器节点组成。为了识别存款事件或提款事件,需要九个验证者签名中的五个。攻击者设法控制了 Sky Mavis 的四个 Ronin 验证器和由 Axie DAO 运行的第三方验证器。验证器密钥方案是分散设置的,以此来限制类似于此次的攻击,但攻击者发现了 Ronin 的无Gas RPC 节点的后门,从而获取了 Axie DAO 验证器的签名。

此次事件由来可以追溯到2021年11月,当时 Axie DAO 验证器被允许分发免费交易。这已于2021年12月停止,但 Axie DAO 验证器IP仍在允许列表中。一旦攻击者访问了 Sky Mavis 系统,便能够通过无Gas RPC 从 Axie DAO 验证器获得签名。

目前 Ronin 官方已经确认恶意提款中的签名与五个可疑的验证者相匹配。

总结

本次攻击事件核心是私钥泄露而导致的,虽然官方宣称私钥泄露是因为社会工程,但官方在攻击发生一周后才公开此次事件,理由难免有些牵强,很难不使人猜想项目人员监守自盗的可能。

在此提醒项目方发布项目后一定要将私钥严密保管,谨防网络钓鱼,另外,近期,各类合约漏洞安全事件频发,合约审计、风控措施、应急计划等都有必要切实落实。

「已注销」
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
知道创宇区块链安全风险白皮书.pdf
08-15
知道创宇区块链安全风险白皮书 用Java
知道创宇发布区块链安全整体解决方案.pdf
08-15
#资源达人分享计划#
知道创宇404实验室2018年网络空间安全报告
01-14
2018年网络安全事件、漏洞、区块链的详细年度分析报告
知道创宇404实验室】2018年网络空间安全报告
01-16
2018年网络空间安全事件详细解读,内容涉及区块链分析、漏洞分析以及行业安全问题分析
区块链的基石:工作量证明机制,如何驱动数字货币革命?
JavaEdge全是干货的技术号
07-21 895
POS会面临发token的问题,起初只有创世块上有token,意味着只有这个节点可以挖矿,所以让token分散出去才能让网络壮大,所以早期采取的是POW+POS,即第一阶段POW挖矿,第二阶段POS挖矿,后来ERC20合约token出现后,可以只存在POS的挖矿形式。相对于比特币等PoW类型的token,更加去中心化,相比PoW算法的51%算力攻击,PoS需要购买51%的token,成本更高,没有攻击意义。第一代共识机制,比特币的基础,即“按劳取酬”,你付出多少工作量,就获得多少报酬。
深耕区域市场,ATFX以投教引领市场新风向
pycxiaoy的博客
07-19 620
自创立以来,ATFX遵循“以客户为中心”的服务理念,针对不同区域市场、用户群体和多元化需求,坚持以市场用户需求为突破点,不断开发满足市场及用户实际需求的产品和服务,并提供优质有针对性、个性化、本土化和定制化的投教产品、服务及解决方案,以专业回馈市场,由此品牌取得了业界瞩目的市场成绩和不俗市场口碑,而这正是ATFX品牌充满勃勃生机、不断取得优良成绩的基础。本着“先知而后行”的服务理念,ATFX积极在全球范围内精心布局,成功在亚洲、中东、欧洲、南美以及更多新兴市场举办一系列内容丰富的投教服务活动。
区块链革命:探索Web3如何重塑数字世界
dd8989089的博客
07-19 1192
Web3作为区块链技术的重要应用范式,以其去中心化、安全和可编程性质,正在深刻地改变着我们的数字世界。通过本文的介绍,希望读者能够深入理解Web3技术在重塑数字世界中的作用和潜力,为未来的技术创新和社会进步贡献智慧和力量。
Covalent(CXT)运营商网络规模扩大 42%,以满足激增的需求
区块链蓝海
07-22 1007
Covalent Network(CXT)是领先的模块化数据基础设施层,致力于解决区块链和 AI 领域的主要挑战,包括可验证性、去中心化 AI 推理和长期数据可用性。随着 Covalent Network(CXT)网络的委托空间迅速达到 100% 的容量,且 CXT 代币 22% 的供应量被质押, Covalent Network(CXT)认识到社区对其验证基础设施的坚定承诺,并为进一步提升和去中心化网络而致力于加强其运营,增加新的运营商将是确保持续质量、可靠性和效率的关键步骤。
数据隐私保护与区块链技术的结合:新兴趋势分析
weixin_44672358的博客
07-23 449
数据隐私保护指的是在数据收集、存储、处理和传输过程中,保护个人数据免受未经授权的访问和滥用。随着互联网的普及和数据驱动的发展,个人数据的泄露和滥用成为了一个严峻的挑战。传统的数据存储和管理方式往往依赖于集中式的数据中心,存在单点故障和数据被攻击的风险。数据隐私保护与区块链技术的结合,不仅仅是技术革新的体现,更是保护用户权益和数据安全的重要手段。随着区块链技术的不断发展和应用场景的拓展,相信在不久的将来,区块链将在数据隐私保护领域发挥越来越重要的作用。
区块链技术和系统;ZKRollup ;区块链交易打包和审查
热门推荐
ZJQ的博客
07-19 2万+
区块链技术作为一种去中心化、不可篡改且高度安全的分布式账本技术,近年来在统等多个领域展现出了巨大的应用潜力。:熟悉区块链的基本概念,如等核心技术。能够解释区块链如何工作,以及它的去中心化、透明性和安全性的基本原理。:了解并实践过至少一种或多种主流区块链平台,如等。熟悉这些平台的特性、开发环境、交易模型、智能合约编写语言(如Solidity)等。:能够,理解其在区块链上自动执行合约条款的重要性。了解智能合约的安全隐患,如重入攻击、时间戳依赖等,并知道如何避免这些问题。
从零开始学量化~Ptrade使用教程(七)——期权相关操作
V_ZQKHJL98的博客
07-19 260
可点击证券代码右侧的选,进入期权选择菜单。通过选择标的商品,认购期权和认沽期权中间的选项(包括代码、成交价、幅度%、隐波%、内在价值、时间价值等),以及认购期权或认沽期权,选择所需的期权标的商品,点击选择后返回期权交易菜单会自动填入证券代码、到期月份、交易代码(合约代码+合约名称)、委托价格。也可手动输入证券代码、到期月份、交易代码(合约代码+合约名称)等选择所要进行交易的期权,进行期权的认购或认沽。主要实现对已备兑锁定期权进行备兑解锁。主要实现期权的备兑锁定功能。主要实现期权的行权功能。
富格林:曝光提防欺诈正确方案
fgl100的博客
07-22 255
现货黄金的日内交易量是巨大的,一旦金价形成一定的趋势,是不会轻易在短时间内被扭转局面。因此,不管是新手投资者还是有经验的老手投资者都尽可能采用顺势交易的原则。首先,进行操作交易的关键一步便是挑选合适的交易平台。投资者应考虑平台的信誉、交易费用、客户服务以及是否提供模拟交易账户等因素。因为模拟交易账户给予我们在无任何资金风险的环境下练习与真实交易无差别的操作步骤,并且可以更迅速更切实地熟悉整个市场的动态。富格林悉知,黄金作为全球公认曝光的避险资产和价值储存工具,一直以来都吸引着众多投资者的目光。
全国区块链职业技能大赛国赛考题前端功能开发
本郡主是喵
07-21 937
全国区块链职业技能大赛国赛考题区块链应用前端功能开发
基于区块链的算力交易平台
ZJQ的博客
07-21 978
综上所述,基于拍卖机制的分布式可信交易流程与拍卖算法,以及多维资源统一定价模型,在关键技术上充分利用了区块链、智能合约、共识机制和数据加密等先进技术;在创新点上则体现在多维资源统一定价模型的制定、分布式可信交易流程的设计以及仿真验证与特性满足等方面。综上所述,基于区块链的算力交易平台通过智能合约、共识机制和加密算法等核心技术实现了交易的高效、透明和安全。同时,通过链上链下结合的交易处理方法、算力交易激励与资源调度机制以及面向监管友好的数据隐私安全等创新点,进一步提升了平台的竞争力和市场价值。
区块链论文速读B会-DSN 2024(1/3)区块链如何容忍对手控制超过一半的系统节点?
软件工程小施同学 的专栏
07-21 1094
具体来说,在限量版 ERC-721 标准化非同质化代币 (NFT) 中,由于其稀缺性驱动的定价和市场波动,交易的重新排序带来了有利可图的威胁环境。在不活跃泄漏期间,不活跃验证者的权益将被耗尽,直到活跃验证者的权益达到权益的三分之二。在不活跃泄漏期间,不再向证明者提供奖励(实际上,唯一剩下的奖励是区块生产者和同步委员会),并且对不活跃的验证者施加额外的惩罚。我们的理论分析揭示了拜占庭验证者的行为加速两个冲突分支的最终确定的场景,以及拜占庭验证者的投票权超过三分之一关键安全阈值的情况。然后,验证者可分为三类。
学术研讨 | 区块链与隐私计算领域专用硬件研讨会顺利召开
最新发布
weixin_55760491的博客
07-24 169
挪威奥斯陆大学教授、欧洲科学院院士、挪威皇家科学院院士张彦做了“区块链融合前沿信息技术”主题报告,分享区块链与通信、人工智能、数字孪生、算力网络等领域的融合应用研究与实例;中山大学教授郑子彬、浙江理工大学教授沈剑、北京交通大学副教授李超、中科院计算所助理研究员贾林鹏分别做了“web3研究现状与发展趋势”“区块链与前沿技术深度融合的新方向”“web3.0性能优化与生态治理技术”“基于小分片并行的同构多链架构及方法”的专题报告。添加图片注释,不超过 140 字(可选)
Layer2区块链扩容方案(1)——总述
Hock2023的博客
07-23 840
这篇文章作为一个简单介绍,很多技术只是大致提及或者引用,之后会在详细学习后逐项解释。
区块链浏览器开发指南分享
北桥源木
07-22 315
区块链浏览器是联盟链上的一种数据可视化工具,用户可以通过web页面,直接在浏览器上查看联盟链的节点、区块、交易信息和子链信息、标识使用信息等,用以验证交易等区块链常用操作。
全国区块链职业技能大赛第八套区块链产品需求分析与方案设计
本郡主是喵
07-21 568
第8套区块链产品需求分析与方案设计不分
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值