AVI:慢雾：损失超6.1亿美元，详解Ronin Network黑客事件始末_Karmaverse

2022年03月29日，AxieInfinity侧链RoninNetwork发布社区预警，RoninNetwork出现安全漏洞，RoninBridge共17.36万枚ETH和2550万枚USDC被盗，损失超6.1亿美元。慢雾安全团队第一时间介入分析，并将分析结果分享如下。

NFT游戏最常用的以太坊侧链」方向发展。据了解，AxieInfinity的团队SkyMavis想要一个可靠、快速且廉价的网络，从而为游戏的发展提供保障。他们需要一个以游戏为先的扩容方案，它不仅要能经得起时间的考验，还得满足游戏快速发展所带来的大量需求。于是，Ronin链便应运而生了。

BKEX Global将于今日17:00上线MOON:据BKEX Global公告，BKEX Global将于2020年9月12日17:00（UTC+8）上线MOON（MoonSwap），开放交易对：MOON/USDT。 MOON团队开发了MoonSwap，并且发行了MOON代币。它将Layer2解决方案引入AMM，让持有以太坊链上资产的用户也能享受到“高速和0GAS费”的体验，同时还能实现更高的资产利用率。[2020/9/12]

黑客地址：

0x098B716B8Aaf21512996dC57EB0615e2383E2f96

BKEX Global将于今日17:30上线DIA:据BKEX Global公告，BKEX Global将于2020年8月19日17:30（UTC+8）上线DIA（Decentralised ），开放交易对：DIA/USDT。

Decentralised Information Asset去中心化信息资产，是一个开放源代码的金融信息平台，它利用加密货币经济激励措施来获取和验证数据。市场参与者可以提供，共享和使用金融和数字资产数据。[2020/8/19]

PolyNetwork被黑事件，后者也窃取了超过6亿美元。

BKEX Global 将于3月7日上线UFO:据BKEX Global公告，BKEX Global 将于2020年3月7日20:30（UTC+8）上线UFO，开放交易对：UFO/USDT，并于3月7日15:00开放充值。

UFO属于匿名币项目，由一批隐私币爱好者创建，基于MW协议，使用的是X17算法。目前处于最早期CPU挖矿阶段，POW友好型矿币，UFO也是一个匿名的区块链协议，由世界各地开发人员透明地构建。[2020/3/7]

事情背景可追溯到去年11月，当时SkyMavis请求AxieDAO帮助分发免费交易。由于用户负载巨大，AxieDAO将SkyMavis列入白名单，允许SkyMavis代表其签署各种交易，该过程于12月停止。但是，对白名单的访问权限并未被撤销，这就导致一旦攻击者获得了SkyMavis系统的访问权限，就能够通过gas-freeRPC从AxieDAO验证器进行签名。SkyMavis的Ronin链目前由九个验证节点组成，其中至少需要五个签名来识别存款或取款事件。攻击者通过gas-freeRPC节点发现了一个后门，最终攻击者设法控制了五个私钥，其中包括SkyMavis的四个Ronin验证器和一个由AxieDAO运行的第三方验证器。

分析 | 慢雾：攻击者拿下了DragonEx尽可能多的权限 攻击持续至少1天:据慢雾安全团队的链上情报分析，从DragonEx公布的“攻击者地址”的分析来看，20 个币种都被盗取（但还有一些DragonEx可交易的知名币种并没被公布），从链上行为来看攻击这些币种的攻击手法并不完全相同，攻击持续的时间至少有1天，但能造成这种大面积盗取结果的，至少可以推论出：攻击者拿下了DragonEx尽可能多的权限，更多细节请留意后续披露。[2019/3/26]

据慢雾MistTrack反追踪系统分析，黑客在3月23日就已获利，并将获利的2550万枚USDC转出，接着兑换为ETH。

而在3月28日2:30:38，黑客才开始转移资金。

据慢雾MistTrack分析，黑客首先将6250ETH分散转移，并将1220ETH转移到FTX、1ETH转到Crypto.com、3750ETH转到Huobi。

值得注意的是，黑客发起攻击资金来源是从Binance提币的1.0569ETH。

目前，Huobi、Binance创始人均发表了将全力支持AxieInfinity的声明，FTX的CEOSBF也在一封电子邮件中表示，将协助取证。

截止目前，仍有近18万枚ETH停留在黑客地址。

目前黑客只将资金转入了中心化平台，很多人都在讨论黑客似乎只会盗币，却不会洗币。尽管看起来是这样，但这也是一种常见的简单粗暴的洗币手法，使用假KYC、代理IP、假设备信息等等。从慢雾目前获取到的特殊情报来看，黑客并不“傻”，还挺狡猾，但追回还是有希望的，时间上需要多久就不确定了。当然，这也要看执法单位的决心如何了。

总结

本次攻击事件主要原因在于SkyMavis系统被入侵，以及AxieDAO白名单权限维护不当。同时我们不妨大胆推测下：是不是SkyMavis系统里持有4把验证器的私钥？攻击者通过入侵SkyMavis系统获得四个验证节点权限，然后对恶意提款交易进行签名，再利用?AxieDAO对SkyMavis开放的白名单权限，攻击者通过gas-freeRPC向AxieDAO验证器推送恶意提款交易获得第五个验证节点对恶意提款交易的签名，进而通过?5/9签名验证。

最后，在此引用安全鹭的建议：

1、私钥最好通过安全多方计算消除单点风险；

2、私钥分片分散到多台硬件隔离的芯片里保护；

3、大资金操作应有更多的策略审批保护，保证资金异动第一时间由主要负责人获悉并确认；

4、被盗实际发生时间是3月23日，项目方应加强服务和资金监控。

参考链接：

RoninNetwork官方分析

标签：AVISKYMMAVSKYDavis Cup Fan TokenSkymapKarmaverseSKYFT Token

XLM热门资讯