Az Ethereum alapú Ronin hidat 600 millió dollár digitális eszközért vagy 173,600 25 ETH-ért és XNUMX millió dollár USDC-ért törték fel. Ez a támadás a decentralizált pénzügyek (DeFi) történetének legnagyobb támadása lett, megelőzve a Poly Network feltörését, amely szintén egy hídban gyökerező sebezhetőséget használt ki.
Kapcsolódó olvasmányok A BadgerDAO több hálózatot hoz létre, mivel a hacker arra kéri, hogy adja vissza az ellopott kriptot
A Ronin mögött álló csapat kiküldött a támadás előzetes elemzése és a további veszteségek elkerülése érdekében hozott biztonsági intézkedések. A bejegyzés szerint a Katana és Ronin decentralizált tőzsdén (DEX) leállították a kereskedést.
Ráadásul Ronin azt állította, hogy jelenleg a végrehajtó tisztviselőkkel és más szakértőkkel dolgoznak azon, hogy „visszafizessék vagy visszafizessék” az összes pénzt. Az AXS, RON és SLP pénzeszközök a hídon továbbra is biztonságban vannak, amint azt a bejegyzés tisztázza.
A rossz szereplők kihasználták a Ronin és az Axie DAO validátorok sorozatának sebezhetőségét, amelyek lehetővé teszik számukra, hogy ellopják az alapokat. Ezeket két ügylet során ürítették le a hídmegoldásból. A jelentés hozzátette:
A támadó feltört privát kulcsokat használt, hogy hamis pénzkivonásokat hamisítson. Ma reggel fedeztük fel a támadást, miután egy felhasználó bejelentése szerint nem tudott 5k ETH-t kivenni a hídról.
Ahogy a bejegyzés folytatódott, a rossz színészeknek sikerült birtokukba venniük a privát kulcsot a Sky Mavis és az Axie DAO által irányított validátorokon keresztül. Ez utóbbit az Ethereum keresztlánc-megoldásából származó gázmentes RPC csomóponttal „visszaélve” veszélyeztették.
A Sky Mavis érvényesítői egyértelműen aláírták az Axie DAO tranzakcióit a korábbi együttműködésből. Ez további támadási pontot biztosított a rossz színészeknek. A bejegyzés hozzátette:
Amint a támadó hozzáfért a Sky Mavis rendszerekhez, a gázmentes RPC segítségével megszerezte az aláírást az Axie DAO validátortól. Megerősítettük, hogy a rosszindulatú visszavonások aláírása megegyezik az öt feltételezett érvényesítővel.
Ethereum Bridge Hacker KYC Exchange-et használt
A Ronin ötről nyolcra emelte a tranzakciók érvényesítési küszöbét. Ezzel meg kell akadályozni a további támadások rövid távú kockázatát.
A megoldás áttelepíti a csomópontjait, és szünetelteti a hidat több platformon. A hidat akkor nyitják meg újra, amikor „megbizonyosodunk arról, hogy a forrásokat nem lehet elvezetni”.
A Ronin mögött álló csapat a láncon belüli elemző céggel, a Chainalysis-szel együttműködve nyomon követi és figyelemmel kíséri az ellopott pénzeszközöket. A legfontosabb, hogy a Centralized Exchanges-szel (CEX) tárgyalnak, hogy blokkolják a rossz szereplőkkel kapcsolatos címeket.
Mivel azonban csaknem egy hétbe telt a feltörés felfedezése, a rossz szereplők az alapok egy részét áthelyezhették volna az FTX ÉS Crypto.com kriptográfiai tőzsdére. Sam Bankman-Fried, az FTX vezérigazgatója, megerősített jelenleg vizsgálatot folytatnak, és „adott esetben” intézkedéseket tesznek.
Optimistic Ethereum fejlesztő, méretezhetőségi megoldás, Kelvin Fichter kommentálta a feltörésen a jelentés áttekintése után. Fichter úgy véli, hogy a Sky Mavis több Ronin csomópont futtatása hiba volt, és rámutatott a különbségre ez és a többi hack között:
Ez nagyon különbözik a korábbi hídfeltörésektől, ahol a kiváltó ok egy intelligens szerződéses hiba volt. Ez a privát kulcsok sokkal „klasszikusabb” feltörése egy többkulcsos biztonsági beállításban (…). Szerintem a legalapvetőbb hiba itt a validátor alapú hidakra hagyatkozás volt. A Ronin-híd alapvető feltételezése, hogy a kulcsok többsége nem veszélyeztethető. Nyilvánvaló, hogy ez a feltételezés megtört.
Roninnak volt egy „minimális megfigyelő és riasztási” rendszere is, amely előnyben részesítette a rossz színészeket. Ez „rossz kinézetet” kölcsönöz a Ronin csapatának, de biztonsági figyelmeztetésként használható hasonló megoldásoknál.
Tehát néhány alapvető kivonat most:
1. Az ellenőrző hidak működhetnek, HA rendelkezik a biztonsági feltételezések fenntartásához szükséges mérnöki gyakorlattal. Ez nem triviális.
2. A bizalom-minimalizált hidakat nehezebb elölről építeni, de könnyebben rögzíthető a vonalon.— smartcontracts ?✨ (@kelvinfichter) Március 29, 2022
Kapcsolódó olvasmányok Miért kérte a Poly Network, hogy a hacker váljon főtanácsadójává
A sajtó időpontja szerint az Ethereum (ETH) 3,400 dolláron kereskedett, az elmúlt héten 17%-os nyereséggel.
Forrás: https://bitcoinist.com/600m-ethereum-ronin-bridge-hack-exposed-days-later/