为何黑客钟情Ronin?三次攻击背后的隐患

原文作者:西柚,ChainCatcher

原文编辑:Marco,ChainCatcher

截至 8 月 12 日,再次被黑客攻击的 Ronin 跨链桥并未对用户重新开放,页面还依旧停留在维护状态中。

就在社区用户都在期待 Ronin 生态能再推出一款和Web3农场游戏 Pixels 一样的爆款产品时, Ronin 跨链桥再次被黑客攻击了,这次被盗的资产价值约 1200 万美元。

迄今为止,Ronin 已经发生了三次安全攻击事件,如果说两年前(2022 年)Ronin 跨链桥被黑客卷走的 6.24 亿美元是意外,今年 2 月 Ronin 传出被盗被证实是“黑客乌龙”,那么 8 月 6 日的 Ronin 跨链桥再次被黑客攻击似乎是在意料之中。

早在 2 月 Ronin 联创钱包资产被盗时,就被社区用户调侃,Ronin 不会还有第三次被攻击了吧?,然而在上次安全事件过去在不到半年的时间内,Ronin 还真被黑客再次攻击了。

一个加密项目一而再、再而三的发生安全事件,对于社区用户来说,加密项目的安全信誉已流失。

第三次攻击被盗的 1200 万美元已归还

8 月 6 日晚,据 PeckShieldAlert 监测,Ronin 链疑似再次被黑客攻击,约 4000 枚 ETH 和 200 万 USDC 被转移,损失近 1200 万美元。

对于这次突发的安全事故,Ronin 联合创始人兼首席运营官@Psycheout 在第一时间发文回复到,Ronin 桥已被暂停,正在调查白帽黑客((指站在黑客的立场攻击系统以进行安全漏洞排查的程序员)发现的关于 MEV 漏洞情况。目前,桥上托管的 8.5 亿美元资金是安全的。

随后,Ronin 官方也在社交媒体发文表示,当天早些时候,白帽已通知 Ronin 桥存在一个潜在漏洞,在核实报告后,并在发现链上异常操作后约 40 分钟就暂停了 Ronin 桥。

本次攻击者转移了约 4000 枚 ETH 和 200 万 USDC,价值约 1200 万美元,这也是单笔交易中可以从 Ronin 桥中提取的最大 ETH 和 USDC 金额,先前设置的桥接器提款金额的限制有效防止了漏洞造成更大的伤害。

针对本次黑客安全攻击,Ronin 表示,今日跨链桥合约升级后在治理过程流程部署中引入了一个问题,导致跨链桥误解了提取资金所需的运营商投票门槛。

Ronin 称,本次攻击行为更像是白帽黑客,已与其进行谈判,他们已经做出了善意回应,无论谈判结果如何,所有用户资金都是安全的,任何短缺资金都将在桥梁开放时重新存入。

根据 Beosin 安全团队对于本次安全事件梳理分析,Ronin 此次异常行为的根本原因在于项目方升级合约时,未正常初始化配置跨链交易确认所需的运营商权重,从而使得任何人的签名都能通过跨链验证,以被黑客乘机攻击。

最终,Ronin 本次安全事件以“黑客归还了盗取的价值 1200 万美元资产”结束了风波。

在 8 月 7 日发布的最新公告中,Ronin 表示, 8 月 6 日 Ronin 上发生的黑客攻击确实是白帽黑客所为,白帽黑客最终归还了转走的约 4000 枚 ETH 以及 200 万枚 USDC,并且表示将奖励白帽黑客 50 万美元的赏金。

与此同时,Ronin 桥接在重新开放前将接受审计,并将与 Ronin 验证者推出新的解决方案,以改变跨链桥当前的运营方式。

为何黑客钟情Ronin?三次攻击背后的隐患

截至 8 月 12 日,Ronin 跨链桥还未对用户重新开放,网络上锁仓的加密资产价值 7.5 亿美元,RON 价格现报为 1.44 美元。

尽管 Ronin 本次攻击是白帽黑客所为,并最终归还了所盗取的资金,看似完美地解决了此次安全危机,但社区用户并不买账。

社区用户@Futuresight 质疑到,按照 Ronin 官方说法是白帽黑客在测试,但白帽黑客一般会提前告诉项目方漏洞信息,而不会直接将其资产偷走。

加密 KOL@陈剑 Jason 则在社交媒体发文表示,就在 Ronin 就在“被黑”利空消息发出来后,RON 代币的价格反而还向上扎了一根针把开了高倍空单的都带走了。

让社区用户不得不怀疑,有没有可能是项目方监守自盗,操纵币价。

曾经参与 Ronin 网络质押的 Celi 则对 ChainCatcher 表示,即使本次是白帽黑客所为,但这样的行为已对 Ronin 造成了巨大的声誉损失,用户对其的安全信任再次减弱。

她解释道,智能合约升级尤其是跨链桥升级,在上线前都需进行彻底检查,项目方不能有任何侥幸心理,拿这么多的资金去玩冒险游戏,好在本次 Ronin 的损失得到了控制,不然项目的损失会更大。

接连三次被黑客攻击,Ronin 安全信誉已流失

在加密领域,黑客攻击事件常有发生,即使损失上千万美元也并不奇怪,根据安全审计公司 Beosin 发布的最新数据显示, 7 月Web3生态因黑客攻击等造成的总损失金额达 2.86 亿美元,如跨链交易聚合器 LI.FI 就因合约漏洞损失约 1160 万美元等。

对于 Ronin 的本次黑客攻击,加密社区用户似乎早已在意料之中,早在今年 2 月 Ronin 被传安全攻击时,社区用户就调侃道,不会还有第三次攻击吧?因此,对于本次安全事件用户更多是感叹道,接连被黑客三次攻击,在加密领域,Ronin 还是第一人。

2022 年 3 月,Ronin 网络成为加密领域最大规模黑客攻击的焦点,黑客成功控制了 Ronin 网络九名验证者中的五名,并卷走了价值 6.24 亿美元的 ETH 和 USDC,一度成为加密史上涉及数额最多的 DeFi 黑客攻击事件,也是链游领域发生的最严重的一次安全事件。更离谱的是,资金被盗 6 日后,并经社区提醒,Ronin 官方才注意到该漏洞。

经过此次危机后,Ronin 网络长期处于低迷状态,代币 RON 也一直维持在 1 美元以下,直到今年 2 月Web3农场游戏 Pixel 代币 PIXEL 在币安上线,并向 Ronin 网络质押用户空投代币等多种利好,Ronin 网络才重新获得了加密社区用户关注。

然而就在生态爆款项目 Pixel 刚扫除 Ronin 被盗的阴霾时,Ronin 网络再次被传出又被黑客攻击了。

2 月,Web3安全团队 Ancilia.nc 在社交媒体表示,监测到价值约 1000 万美元的 RON 被短时间内从 Ronin 桥中提取并存入 Tornado。

很快,Ronin 联创 Psycheout 回复表示,Ronin 和跨链桥都没有问题,这只是一个鲸鱼钱包被盗,并通过 Tornado Cash 混走,而这位被盗的鲸鱼竟是 Axie Infinity 和 Ronin Network 的联合创始人 Jihoz。

尽管 Jihoz 发文表示,仅是个人地址遭到安全攻击,与 Ronin 链的验证或运营活动无关,是一场黑客乌龙事件,但依旧在社区用户心中留下了 Ronin 二次被黑客攻击的印记。加上这次又是因为跨链桥升级出现漏洞,再次被黑客攻击,虽然危机最终被解除,但是用户对 Ronin 的信任已完全被流失,每次提及 Ronin,映入脑海的第一个关键词就是容易被盗。

所以当 8 月 6 日,Ronin 第三次被黑客攻击时,用户更多的是感叹,本来就有被盗 PTSD 影响,还真的又被攻击了?过去被黑,现在又被攻击,那是不是还会有下次被盗?

更有社区用户发出质疑,一个跨链桥,三天两头被攻击,到底是安全技术不行还是团队技术不行?

但加密用户 Lisa 则持不同的看法,她认为,Ronin 桥被盗是因为桥梁锁定或托管了大量用户的资产,是黑客最喜欢的攻击目标。解释道,历史上五次最大的加密货币黑客攻击中有三次与跨链桥有关,除了 Ronin 桥被盗外,还有 2022 年 BNB 桥被利用窃取了约 5.86 亿美元,同年 2 月 Wormhole 桥也遭遇漏洞攻击,损失 3.26 亿美元。

截至 8 月 12 日,Ronin 网络验证节点已从当初的 9 个增加至 21 个,并限制了跨链桥每笔资金的转账限额,如今网络上质押的 RON 数量已有 2.08 以枚,。

Ronin 链上游戏生态依旧可期

根据 Token Terminal 数据显示,近期 Ronin 链上日活在所有公链网络中排名第一,已经超过 Tron 和 Solana,每日活跃用户数已突破 200 万。其中, 8 月 1 日,Ronin 链上日活跃钱包达 230 万个,日交易量达 350 万笔,创下历史新高。

为何黑客钟情Ronin?三次攻击背后的隐患

曾在 DeFiance Capital 任职、现负责 Ronin 生态的@Bailey.ron 表示,Ronin 是为数不多的致力于并实现真正消费者采用的加密项目之一。

除了链上用户数据表现优异外,Ronin 生态内上线多个知名游戏。

除经典的 Axie Infinity 和 Pixels 外,还有农场生存游戏 Lumiterra、英雄射击游戏 The Machines Arena、机甲射击游戏 Kaidro、策略游戏 Wild Forest、角色扮演游戏 Runiverse、卡牌对决链游 Apeiron 等。

且越多越多的游戏选择迁移至 Ronin,如 Runiverse 就是 7 月宣布迁移至 Ronin 网络的,而 Kaidro 原本是基于在 Immutable 的游戏、Pixels 也是从 Polygon 迁移过来的。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

Proudly powered by WordPress | Theme: Cute Blog by Crimson Themes.