2022年03月29日,AxieInfinity侧链RoninNetwork发布社区预警,RoninNetwork出现安全漏洞,RoninBridge共17.36万枚ETH和2550万枚USDC被盗,损失超6.1亿美元。慢雾安全团队第一时间介入分析,并将分析结果分享如下。
相关信息
Ronin是以太坊的一个侧链,专门为链游龙头AxieInfinity而创建,它自称是将朝着「NFT游戏最常用的以太坊侧链」方向发展。据了解,AxieInfinity的团队SkyMavis想要一个可靠、快速且廉价的网络,从而为游戏的发展提供保障。他们需要一个以游戏为先的扩容方案,它不仅要能经得起时间的考验,还得满足游戏快速发展所带来的大量需求。于是,Ronin链便应运而生了。黑客地址:0x098B716B8Aaf21512996dC57EB0615e2383E2f96攻击细节
慢雾:BXH 第一次被盗资金再次转移,BTC 网络余额超 2700 BTC:金色财经报道,10月8日凌晨(UTC+8),慢雾监控到 BXH 第一次被盗资金再次出现异动,经慢雾 MistTrack 分析,异动详情如下:
黑客地址 0x48c9...7d79 将部分资金(213.77 BTCB,5 BNB 和 1 ETH)转移至新地址 0xc01f...2aef,接着将资金兑换为 renBTC 跨链到 BTC 网络,跨链后地址为 1JwQ...u9oU。1JwQ...u9oU 在此次转移中接收到的总资金为 204.12 BTC。截止目前,BXH 第一次被盗事件在 BTC 网络共有 4 个黑客地址,总计余额为 2701.3 BTC,暂未进一步转移。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/10/8 12:49:28]
据官方发布的信息,攻击者使用被黑的私钥来伪造提款,仅通过两次交易就从Roninbridge中抽走了资金。值得注意的是,黑客事件早在3月23日就发生了,但官方据称是在用户报告无法从bridge中提取5kETH后才发现这次攻击。本次事件的损失甚至高于去年的PolyNetwork被黑事件,后者也窃取了超过6亿美元。事情背景可追溯到去年11月,当时SkyMavis请求AxieDAO帮助分发免费交易。由于用户负载巨大,AxieDAO将SkyMavis列入白名单,允许SkyMavis代表其签署各种交易,该过程于12月停止。但是,对白名单的访问权限并未被撤销,这就导致一旦攻击者获得了SkyMavis系统的访问权限,就能够通过gas-freeRPC从AxieDAO验证器进行签名。SkyMavis的Ronin链目前由九个验证节点组成,其中至少需要五个签名来识别存款或取款事件。攻击者通过gas-freeRPC节点发现了一个后门,最终攻击者设法控制了五个私钥,其中包括SkyMavis的四个Ronin验证器和一个由AxieDAO运行的第三方验证器。MistTrack
慢雾:警惕ETH新型假充值,已发现在野ETH假充值攻击:经慢雾安全团队监测,已发现存在ETH假充值对交易所攻击的在野利用,慢雾安全团队决定公开修复方案,请交易所或钱包及时排查ETH入账逻辑,必要时联系慢雾安全团队进行检测,防止资金丢失。建议如没有把握成功修复可先临时暂停来自合约地址的充值请求。再进行如下修复操作:1、针对合约ETH充值时,需要判断内联交易中是否有revert的交易,如果存在revert的交易,则拒绝入账。2、采用人工入账的方式处理合约入账,确认充值地址到账后才进行人工入账。同时需要注意,类以太坊的公链币种也可能存在类似的风险。[2020/5/23]
在事件发生后,慢雾第一时间追踪分析并于北京时间3月30日凌晨1:09发声。
动态 | 慢雾:2020年加密货币勒索蠕虫已勒索到 8 笔比特币:慢雾科技反(AML)系统监测:世界最早的知名加密货币勒索蠕虫 WannaCry 还在网络空间中苟延残喘,通过对其三个传播版本的行为分析,其中两个最后一次勒索收到的比特币分别是 2019-04-22 0.0584 枚,2019-09-01 0.03011781 枚,且 2019 年仅发生一次,另外一个 2020 还在活跃,2020 开始已经勒索收到 8 笔比特币支付,但额度都很低 0.0001-0.0002 枚之间。这三个传播版本第一次发生的比特币收益都是在 2017-05-12,总收益比特币 54.43334953 枚。虽然收益很少,但 WannaCry 可以被认为是加密货币历史上勒索作恶的鼻主蠕虫,其传播核心是 2017-04-13 NSA 方程式组织被 ShdowBrokers(影子经纪人) 泄露第三批网络军火里的“永恒之蓝”(EternalBlue)漏洞,其成功的全球影响力且匿名性为之后的一系列勒索蠕虫(如 GandCrab)带来了巨大促进。[2020/2/23]
据慢雾MistTrack反追踪系统分析,黑客在3月23日就已获利,并将获利的2550万枚USDC转出,接着兑换为ETH。
声音 | 慢雾:ETDP钱包连续转移近2000 ETH到Bitstamp交易所,项目方疑似跑路:据慢雾科技反(AML)系统监测显示,自北京时间 12 月 16 日凌晨 2 点开始,ETDP 项目方钱包(地址 0xE1d9C35F…19Dc1C3)连续转移近 2000 ETH 到 Bitstamp 交易所,另有 3800 ETH 分散在 3 个新地址中,未发生进一步动作。慢雾安全团队在此提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。[2019/12/16]
分析 | 慢雾:攻击者拿下了DragonEx尽可能多的权限 攻击持续至少1天:据慢雾安全团队的链上情报分析,从DragonEx公布的“攻击者地址”的分析来看,20 个币种都被盗取(但还有一些DragonEx可交易的知名币种并没被公布),从链上行为来看攻击这些币种的攻击手法并不完全相同,攻击持续的时间至少有1天,但能造成这种大面积盗取结果的,至少可以推论出:攻击者拿下了DragonEx尽可能多的权限,更多细节请留意后续披露。[2019/3/26]
而在3月28日2:30:38,黑客才开始转移资金。据慢雾MistTrack分析,黑客首先将6250ETH分散转移,并将1220ETH转移到FTX、1ETH转到Crypto.com、3750ETH转到Huobi。
值得注意的是,黑客发起攻击资金来源是从Binance提币的1.0569ETH。
目前,Huobi、Binance创始人均发表了将全力支持AxieInfinity的声明,FTX的CEOSBF也在一封电子邮件中表示,将协助取证。
截止目前,仍有近18万枚ETH停留在黑客地址。
目前黑客只将资金转入了中心化平台,很多人都在讨论黑客似乎只会盗币,却不会洗币。尽管看起来是这样,但这也是一种常见的简单粗暴的洗币手法,使用假KYC、代理IP、假设备信息等等。从慢雾目前获取到的特殊情报来看,黑客并不“傻”,还挺狡猾,但追回还是有希望的,时间上需要多久就不确定了。当然,这也要看执法单位的决心如何了。总结
本次攻击事件主要原因在于SkyMavis系统被入侵,以及AxieDAO白名单权限维护不当。同时我们不妨大胆推测下:是不是SkyMavis系统里持有4把验证器的私钥?攻击者通过入侵SkyMavis系统获得四个验证节点权限,然后对恶意提款交易进行签名,再利用AxieDAO对SkyMavis开放的白名单权限,攻击者通过gas-freeRPC向AxieDAO验证器推送恶意提款交易获得第五个验证节点对恶意提款交易的签名,进而通过5/9签名验证。最后,在此引用安全鹭的建议:1、私钥最好通过安全多方计算消除单点风险;2、私钥分片分散到多台硬件隔离的芯片里保护;3、大资金操作应有更多的策略审批保护,保证资金异动第一时间由主要负责人获悉并确认;4、被盗实际发生时间是3月23日,项目方应加强服务和资金监控。参考链接:RoninNetwork官方分析
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。