2024-08-07
內容目錄
Ronin 又出包,創辦人稱可能遭遇 MEV 攻擊
一代成功鏈遊 Axie Infinity 與其區塊鏈 Ronin 創辦人突發消息表示,因白帽通知漏洞,Ronin 跨鏈橋停止運行,因可能受到 MEV 攻擊。Ronin 之前被北韓駭客駭 6 億美金,導致無人問津,讓它已經夕落西山的 Axie Infinity 也更加寂寥,今又再出現資安漏洞,恐怕是更難東山再起。
(Axie Infinity側鏈Ronin經歷駭客事件後,官方跨鏈橋今恢復存提)
The @Ronin_Network bridge has been paused while we investigate a report from whitehats about a potential MEV exploit.
— Psycheout.ron (@Psycheout86) August 6, 2024
We will follow up with more information shortly.
The bridge currently secures over $850M which is safe https://t.co/lUjIIgb1DD
資安團隊分析原因
資安團隊慢霧 (SlowMist) 表示,因為由於 Ronin 合約中權重值 (weight),被改成無預期之數值,導致資金可以在不須通過多簽同意下被轉移。
廣告 - 內文未完請往下捲動
Due to the weights being modified to unexpected values, funds can be withdrawn without going through any multisig threshold checks. https://t.co/fkYA7yCTIw pic.twitter.com/J0v4ybWYNv
— SlowMist (@SlowMist_Team) August 6, 2024
開發者 Bing 評論,簽名總權重是 0,隨便拿別人的簽名都可以過。他表示:
- 是三小時前更新的合約
- initialized 和 upgrade 不知道什麼原因放反了
- 黑客兩個小時就找到問題 活該賺錢
這波 @Ronin_Network 操作有點騷
— DegenBing.eth | Buji DAO (@DegenBing) August 6, 2024
簽名總權重是0 (忘記設定?)
隨便拿別人的簽名都可以過
重點是七天了沒人發現 甚至在etherscan上面都能看見這個bug
4000E 擦身而過
啊啊啊啊啊啊啊啊啊啊 https://t.co/rH3ehgKKnb pic.twitter.com/VWG1kYxwaZ
駭客歸還資產,跨鏈橋將再開
Ronin 表示已收到歸還的 ETH 約一千萬美金,希望 USDC 部分也可以被歸還。將會獎勵白帽駭客 50 萬獎金。跨鏈橋會再次接受審計後,才會重新開啟服務。
Update:
— Ronin (@Ronin_Network) August 6, 2024
The ETH (~$10 M) has been returned and we expect that the USDC will be returned later today. We thank the white hats for their vigilance and integrity. The Bug Bounty Program will reward the white hats with a 500 K bounty.
The bridge will undergo an audit before it is…
