慢雾:损失超6.1亿美元,详解Ronin Network黑客事件始末_AVI:Skymap

2022年03月29日,AxieInfinity侧链RoninNetwork发布社区预警,RoninNetwork出现安全漏洞,RoninBridge共17.36万枚ETH和2550万枚USDC被盗,损失超6.1亿美元。慢雾安全团队第一时间介入分析,并将分析结果分享如下。

NFT游戏最常用的以太坊侧链」方向发展。据了解,AxieInfinity的团队SkyMavis想要一个可靠、快速且廉价的网络,从而为游戏的发展提供保障。他们需要一个以游戏为先的扩容方案,它不仅要能经得起时间的考验,还得满足游戏快速发展所带来的大量需求。于是,Ronin链便应运而生了。

慢雾:Distrust发现严重漏洞,影响使用Libbitcoin Explorer3.x版本的加密钱包:金色财经报道,据慢雾区消息,Distrust 发现了一个严重的漏洞,影响了使用 Libbitcoin Explorer 3.x 版本的加密货币钱包。该漏洞允许攻击者通过破解 Mersenne Twister 伪随机数生成器(PRNG)来访问钱包的私钥,目前已在现实世界中造成了实际影响。

漏洞详情:该漏洞源于 Libbitcoin Explorer 3.x 版本中的伪随机数生成器(PRNG)实现。该实现使用了 Mersenne Twister 算法,并且仅使用了 32 位的系统时间作为种子。这种实现方式使得攻击者可以通过暴力破解方法在几天内找到用户的私钥。

影响范围:该漏洞影响了所有使用 Libbitcoin Explorer 3.x 版本生成钱包的用户,以及使用 libbitcoin-system 3.6 开发库的应用。

已知受影响的加密货币包括 Bitcoin、Ethereum、Ripple、Dogecoin、Solana、Litecoin、Bitcoin Cash 和 Zcash 等。

风险评估:由于该漏洞的存在,攻击者可以访问并控制用户的钱包,从而窃取其中的资金。截至 2023 年 8 月,已有超过 $900,000 美元的加密货币资产被盗。

解决方案:我们强烈建议所有使用 Libbitcoin Explorer 3.x 版本的用户立即停止使用受影响的钱包,并将资金转移到安全的钱包中。请务必使用经过验证的、安全的随机数生成方法来生成新的钱包。[2023/8/10 16:18:20]

黑客地址:

慢雾:过去一周Web3因安全事件损失约265万美元:7月17日消息,慢雾发推称,2023年7月10日至7月16日期间,Web3发生5起安全事件,总损失为265.5万美元,包括Arcadia Finance、Rodeo Finance、LibertiVault、Platypus、Klever。[2023/7/17 10:59:08]

0x098B716B8Aaf21512996dC57EB0615e2383E2f96

PolyNetwork被黑事件,后者也窃取了超过6亿美元。

慢雾:过去一周Web3生态因安全事件损失约2400万美元:6月19日消息,据慢雾发推称,过去一周Web3生态系统因安全事件损失约2400万美元,包括Atlantis Loans、Ben Armstrong、TrustTheTrident、FPG、Sturdy、Pawnfi、Move VM、Hashflow、DEP/USDT与LEV/USDC、Midas Capital,总计23,795,800美元。[2023/6/19 21:46:18]

事情背景可追溯到去年11月,当时SkyMavis请求AxieDAO帮助分发免费交易。由于用户负载巨大,AxieDAO将SkyMavis列入白名单,允许SkyMavis代表其签署各种交易,该过程于12月停止。但是,对白名单的访问权限并未被撤销,这就导致一旦攻击者获得了SkyMavis系统的访问权限,就能够通过gas-freeRPC从AxieDAO验证器进行签名。SkyMavis的Ronin链目前由九个验证节点组成,其中至少需要五个签名来识别存款或取款事件。攻击者通过gas-freeRPC节点发现了一个后门,最终攻击者设法控制了五个私钥,其中包括SkyMavis的四个Ronin验证器和一个由AxieDAO运行的第三方验证器。

声音 | 慢雾:EOS假充值红色预警后续:慢雾安全团队今早发布了 EOS 假充值红色预警后,联合 EOSPark 的大数据分析系统持续跟踪和分析发现:从昨日开始,存在十几个帐号利用这类攻击技巧对数字货币交易所、钱包等平台进行持续性攻击,并有被真实攻击情况。慢雾安全团队在此建议各大交易所、钱包、DApp 做好相关防御措施,严格校验发送给自己的转账交易在不可逆的状态下确认交易的执行状态是否为 executed。除此之外,确保以下几点防止其他类型的“假充值”攻击: 1. 判断 action 是否为 transfer 2. 判断合约账号是否为 eosio.token 或其它 token 的官方合约 3. 判断代币名称及精度 4. 判断金额 5. 判断 to 是否是自己平台的充币账号。[2019/3/12]

据慢雾MistTrack反追踪系统分析,黑客在3月23日就已获利,并将获利的2550万枚USDC转出,接着兑换为ETH。

而在3月28日2:30:38,黑客才开始转移资金。

据慢雾MistTrack分析,黑客首先将6250ETH分散转移,并将1220ETH转移到FTX、1ETH转到Crypto.com、3750ETH转到Huobi。

值得注意的是,黑客发起攻击资金来源是从Binance提币的1.0569ETH。

目前,Huobi、Binance创始人均发表了将全力支持AxieInfinity的声明,FTX的CEOSBF也在一封电子邮件中表示,将协助取证。

截止目前,仍有近18万枚ETH停留在黑客地址。

目前黑客只将资金转入了中心化平台,很多人都在讨论黑客似乎只会盗币,却不会洗币。尽管看起来是这样,但这也是一种常见的简单粗暴的洗币手法,使用假KYC、代理IP、假设备信息等等。从慢雾目前获取到的特殊情报来看,黑客并不“傻”,还挺狡猾,但追回还是有希望的,时间上需要多久就不确定了。当然,这也要看执法单位的决心如何了。

总结

本次攻击事件主要原因在于SkyMavis系统被入侵,以及AxieDAO白名单权限维护不当。同时我们不妨大胆推测下:是不是SkyMavis系统里持有4把验证器的私钥?攻击者通过入侵SkyMavis系统获得四个验证节点权限,然后对恶意提款交易进行签名,再利用?AxieDAO对SkyMavis开放的白名单权限,攻击者通过gas-freeRPC向AxieDAO验证器推送恶意提款交易获得第五个验证节点对恶意提款交易的签名,进而通过?5/9签名验证。

最后,在此引用安全鹭的建议:

1、私钥最好通过安全多方计算消除单点风险;

2、私钥分片分散到多台硬件隔离的芯片里保护;

3、大资金操作应有更多的策略审批保护,保证资金异动第一时间由主要负责人获悉并确认;

4、被盗实际发生时间是3月23日,项目方应加强服务和资金监控。

参考链接:

RoninNetwork官方分析

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:32ms0-0:702ms