RON:Ronin安全事件分析

前言

Ronin是新加坡游戏工作室SkyMavis开发的，是为支持游戏AxieInfinity而构建的以太坊侧链，使得用户能够自由地将资产转移到其他链上。

北京时间2022年3月29日，RoninNetwork官方发布声明称RoninBridge遭到入侵，损失了173600枚ETH和价值2550万美元的USDC。

知道创宇区块链安全实验室第一时间跟踪本次事件。

TronLink Chrome插件钱包新增支持EVM系网络:7月25日消息，据官方公告，TronLink Chrome 插件钱包即将升级到最新V4.1.1版本。本次升级后，针对Chrome的Tron Link插件钱包将新增对EVM（以太坊虚拟机）系网络（以太坊、BSC及BTTC网络）的支持，为用户提供更多样化的选择。得益于版本升级，TronLink Chrome插件钱包的使用范围将进一步扩大，适配更多更复杂的DAPP应用场景，满足用户多样化的资产管理需求，持续推动波场TRON及BTTC生态系统的发展。

根据公告，用户可通过TronLink Chrome插件钱包界面左上角图标进入切换钱包界面，以管理不同网络上的资产。与此同时，新版本钱包结构将升级为单HD钱包，用户只需记住一套助记词，即可方便管理波场TRON、以太坊、BSC、BTTC网络的资产。

据了解，BTTC的去中心化跨链桥BT.io将优先适配并支持TronLink插件钱包的EVM链相关功能，后续也会有更多EVM链的DAPP适配和支持TronLink插件钱包。[2023/7/25 15:57:47]

基础信息

跨资产投资应用Front完成550万美元种子轮融资，Streamlined VC等领投:6月9日消息，跨资产类别投资应用 Front 宣布完成额外550万美元种子轮融资，Streamlined VC、WndrCo、Rembrandt VC、B3 Capital、CapitalX 和 Stonks 等领投，一些著名的风险投资人和天使投资人，以及 Will Smith (Dreamers VC)、B Capital Group、Plug and Play 和 Alumni Venture 等参投。截至目前，该公司的融资总金额已经超过1000万美元。

Front 主要为经纪商和加密用户提供跨资产类别（股票、加密货币、Alts、NFT 等）的投资组合和数据聚合服务，自 2021 年 8 月推出以来，其关联资产规模已超过 6 亿美元，目前已和 50 多家经纪商集成，包括 Robinhood、Coinbase、Ameritrade 和 Alpaca 等，使大多数散户投资者可以轻松地在一个应用程序中管理自己全部投资组合。得益于本次融资，Front 将在年内与全球经纪自营商、加密货币交易平台和数字资产钱包进一步整合。（美通社）[2022/6/9 23:02:52]

攻击者地址：0x098B716B8Aaf21512996dC57EB0615e2383E2f96

8月份以太坊网络交易量超过240亿美元 高于EOS和Tron网络:主要受DeFi和去中心化交易所交易量增加影响，8月份以太坊网络交易量超过240亿美元，数额高于其他智能合约平台比如EOS和Tron。（Ethereumworldnews）[2020/9/8]

tx1：0xc28fad5e8d5e0ce6a2eaf67b6687be5d58113e16be590824d6cfa1a94467d0b7

tx2:0xed2c72ef1a552ddaec6dd1f5cddf0b59a8f37f82bdda5257d9c7c37db7bb9b08

事件概述

据目前官方发出的声明称，攻击者使用被黑客入侵的私钥来伪造虚假的提款。直到29日早上，一名用户无法从桥上提取5kETH而向Ronin官方报告之后，才发现了这次攻击。目前Ronin桥和KatanaDex已经停止，官方也将验证器阈值从5个提高到了8个。

Ronin链目前由9个验证器节点组成。为了识别存款事件或提款事件，需要九个验证者签名中的五个。攻击者设法控制了SkyMavis的四个Ronin验证器和由AxieDAO运行的第三方验证器。验证器密钥方案是分散设置的，以此来限制类似于此次的攻击，但攻击者发现了Ronin的无GasRPC节点的后门，从而获取了AxieDAO验证器的签名。

此次事件由来可以追溯到2021年11月，当时AxieDAO验证器被允许分发免费交易。这已于2021年12月停止，但AxieDAO验证器IP仍在允许列表中。一旦攻击者访问了SkyMavis系统，便能够通过无GasRPC从AxieDAO验证器获得签名。

目前Ronin官方已经确认恶意提款中的签名与五个可疑的验证者相匹配。

总结

本次攻击事件核心是私钥泄露而导致的，虽然官方宣称私钥泄露是因为社会工程，但官方在攻击发生一周后才公开此次事件，理由难免有些牵强，很难不使人猜想项目人员监守自盗的可能。

在此提醒项目方发布项目后一定要将私钥严密保管，谨防网络钓鱼，另外，近期，各类合约漏洞安全事件频发，合约审计、风控措施、应急计划等都有必要切实落实。

标签：RONTROtronONIiron币收益New TronFun TokenTronLink钱包coni币最新消息

火币网下载官方app热门资讯