慢霧：損失超6.1億美元，詳解Ronin Network黑客事件始末_MAV

2022年03月29日，AxieInfinity?側鏈RoninNetwork發布社區預警，RoninNetwork出現安全漏洞，RoninBridge共17.36萬枚?ETH?和2550萬枚?USDC?被盜，損失超6.1億美元。慢霧安全團隊第一時間介入分析，并將分析結果分享如下。

相關信息

Ronin是以太坊的一個側鏈，專門為鏈游龍頭AxieInfinity而創建，它自稱是將朝著「NFT?游戲最常用的以太坊側鏈」方向發展。據了解，AxieInfinity的團隊SkyMavis想要一個可靠、快速且廉價的網絡，從而為游戲的發展提供保障。他們需要一個以游戲為先的擴容方案，它不僅要能經得起時間的考驗，還得滿足游戲快速發展所帶來的大量需求。于是，Ronin鏈便應運而生了。

比特幣礦商Hut 8 2023年4月產出132枚BTC:金色財經報道，加拿大比特幣礦商Hut 8發布2023 年 4 月采礦生產和運營報告，數據顯示，Hut 84月產出了132 枚比特幣，平均每天產生約 4.4 枚比特幣。截至4 月 30 日，目前擁有 9,265 枚比特幣。本月底，Hut 8艾伯塔省工廠安裝的 ASIC 算力容量為 2.6 EH/s。Hut 8 在 4 月份生產了 50.77 BTC/EH。此外，Hut 8在4月沒有出售比特幣。[2023/5/9 14:52:23]

黑客地址：

0x098B716B8Aaf21512996dC57EB0615e2383E2f96

CZ：正在縮小BSC Token Hub跨鏈橋漏洞黑客身份:金色財經報道，加密貨幣交易所Binance首席執行官CZ表示，已在執法部門幫助下縮小了此前盜取了BNBChain上5.7億美元資產的攻擊者身份的可能范圍。趙長鵬表示，目前仍在試圖確定攻擊者身份，但執法部門提供的線索已經使其調查范圍縮小。此外，趙長鵬還表示能夠凍結大約80%到90%的區塊鏈數據，阻止目標資金被黑客竊取。[2022/10/24 16:37:21]

攻擊細節

據官方發布的信息，攻擊者使用被黑的私鑰來偽造提款，僅通過兩次交易就從Roninbridge中抽走了資金。值得注意的是，黑客事件早在3月23日就發生了，但官方據稱是在用戶報告無法從bridge中提取5kETH后才發現這次攻擊。本次事件的損失甚至高于去年的PolyNetwork?被黑事件，后者也竊取了超過6億美元。

stop-doing-fake-bids-its-honestly-lame-my-guy.eth以100ETH成交，創第五高交易記錄:7月21日消息，據NFTGo數據顯示，stop-doing-fake-bids-its-honestly-lame-my-guy.eth以100ETH（約合156,289.22美元）價格成交，創ENS歷史第五高記錄。但根據買家franklinisbored.eth稱，這筆交易是他忘記取消競標出價導致，但最終不得不接受這筆交易。[2022/7/21 2:27:55]

事情背景可追溯到去年11月，當時SkyMavis請求Axie?DAO?幫助分發免費交易。由于用戶負載巨大，AxieDAO將SkyMavis列入白名單，允許SkyMavis代表其簽署各種交易，該過程于12月停止。但是，對白名單的訪問權限并未被撤銷，這就導致一旦攻擊者獲得了SkyMavis系統的訪問權限，就能夠通過gas-freeRPC從AxieDAO驗證器進行簽名。SkyMavis的Ronin鏈目前由九個驗證節點組成，其中至少需要五個簽名來識別存款或取款事件。攻擊者通過gas-freeRPC節點發現了一個后門，最終攻擊者設法控制了五個私鑰，其中包括SkyMavis的四個Ronin驗證器和一個由AxieDAO運行的第三方驗證器。

跨鏈 DEX O3 Interchange 啟動公測，支持多條公鏈及二層網絡:6月9日消息，O3 Labs 宣布跨鏈 DEX O3 Interchange 啟動公測，將首先支持以太坊、BNB Chain、Polygon、Arbitrum、Fantom、Gnosis、 Optimism 上所支持的任意主流和長尾資產之間的跨鏈交易。此外，O3 Interchange 還支持通過 Gas Staition 交易所支持的網絡上的原生 Gas 代幣。[2022/6/9 4:13:45]

MistTrack

在事件發生后，慢霧第一時間追蹤分析并于北京時間3月30日凌晨1:09發聲。

據慢霧MistTrack反洗錢追蹤系統分析，黑客在3月23日就已獲利，并將獲利的2550萬枚USDC轉出，接著兌換為ETH。

而在3月28日2:30:38，黑客才開始轉移資金。

據慢霧MistTrack分析，黑客首先將6250ETH分散轉移，并將1220ETH轉移到?FTX、1ETH轉到Crypto.com、3750ETH轉到Huobi。

值得注意的是，黑客發起攻擊資金來源是從Binance提幣的1.0569ETH。

目前，Huobi、Binance?創始人均發表了將全力支持AxieInfinity的聲明，FTX的CEOSBF也在一封電子郵件中表示，將協助取證。

截止目前，仍有近18萬枚ETH停留在黑客地址。

目前黑客只將資金轉入了中心化平臺，很多人都在討論黑客似乎只會盜幣，卻不會洗幣。盡管看起來是這樣，但這也是一種常見的簡單粗暴的洗幣手法，使用假KYC、代理IP、假設備信息等等。從慢霧目前獲取到的特殊情報來看，黑客并不“傻”，還挺狡猾，但追回還是有希望的，時間上需要多久就不確定了。當然，這也要看執法單位的決心如何了。

總結

本次攻擊事件主要原因在于SkyMavis系統被入侵，以及AxieDAO白名單權限維護不當。同時我們不妨大膽推測下：是不是SkyMavis系統里持有4把驗證器的私鑰？攻擊者通過入侵SkyMavis系統獲得四個驗證節點權限，然后對惡意提款交易進行簽名，再利用?AxieDAO對SkyMavis開放的白名單權限，攻擊者通過gas-freeRPC向AxieDAO驗證器推送惡意提款交易獲得第五個驗證節點對惡意提款交易的簽名，進而通過?5/9簽名驗證。

最后，在此引用安全鷺的建議：

1、私鑰最好通過安全多方計算消除單點風險；

2、私鑰分片分散到多臺硬件隔離的芯片里保護；

3、大資金操作應有更多的策略審批保護，保證資金異動第一時間由主要負責人獲悉并確認；

4、被盜實際發生時間是3月23日，項目方應加強服務和資金監控。

參考鏈接：

RoninNetwork官方分析

Tags：ETHAVISKYMMAVEVERETHavi幣圈k線工具SKYM價格MamaVerse

以太坊