TRO:Ronin Network被黑，一圖詳解6.1億美元“何去何從”_Tron Society

后知后覺金錢消失術

在加密世界中，私鑰管理和保持私鑰安全性，一直是個重要的話題。

近日，當下最流行的NFT游戲AxieInfinity側鏈RoninNetwork受到黑客攻擊，造成價值約6.1億美金的加密貨幣被盜。其中攻擊者竊取了17.36萬枚ETH以及2550萬枚USDC。

值得一提的是，該攻擊于3月23日就已發生，但是5天后才因用戶報告無法提取5000ETH而發現該攻擊。

數據：近一個月波場TRON活躍用戶數和活躍DApp數領跑眾公鏈:據DappReview網站數據顯示，近一個月波場TRON活躍用戶數和活躍DApp數一直領跑眾公鏈。其中，昨日波場TRON DApp活躍用戶數為125814，以太坊DApp活躍用戶數為39212，EOS DApp活躍用戶數為14359，波場TRON DApp活躍用戶數分別是以太坊的3倍多，是EOS的8倍多。據悉，波場 TRON 以推動互聯網去中心化為己任，致力于為去中心化互聯網搭建基礎設施。旗下的 TRON 協議是基于區塊鏈的去中心化應用操作系統協議之一，為協議上的去中心化應用運行提供高吞吐，高擴展，高可靠性的底層公鏈支持。波場 TRON 還通過創新的可插拔智能合約平臺為以太坊智能合約提供更好的兼容性。[2020/12/24 16:23:40]

AxieInfinity是一款類似口袋妖怪的游戲，玩家可以在游戲中賺取加密貨幣；RoninNetwork則是為了實現高TransactionsPerSecond(TPS)并且讓用戶有更流暢游戲體驗而開發的側鏈；RoninBridge協助將加密貨幣轉入和轉出RoninNetwork；它們同屬SkyMavis運營。

動態 | 幣用寶成為niTROn SUMMIT 2020黃金贊助商:據官方最新信息，幣用寶成為niTROn SUMMIT 2020黃金贊助商。由波場TRON官方舉辦的世界區塊鏈行業年度綜合性峰會niTROn SUMMIT 2020將在2020年2月29號至3月1號兩日于韓國首爾舉行。幣用寶匯集了交易所、錢包、行情軟件、媒體資訊、行業應用、區塊鏈游戲及 Dapp 應用等諸多應用，旨在解決用戶無法一站式下載區塊鏈應用的難題，致力于打造區塊鏈行業的AppStore。[2020/1/20]

驗證節點失守

動態 | 企業家Chaimowitz擔任區塊鏈游戲公司Kronoverse董事會顧問:區塊鏈游戲公司Kronoverse宣布，從2019年11月1日起，企業家Ron Chaimowitz擔任Kronoverse董事會顧問。據悉，Ron Chaimowitz是游戲發行商GT Interactive Software聯合創始人、董事長和首席執行官。（Pressat）[2019/11/2]

DAO運行的第三方驗證器產生的簽名。

SkyMavis的私鑰被入侵后，攻擊者利用簽名來制造“提款證明”。而在該漏洞發生后，SkyMavis已決定將所需驗證節點簽名增加至8個。

節點驗證雖已去中心化，但黑客卻發現了gas-freeRPC的一個后門。

早在2021年11月的一次AxieDAO活動中，AxieDAO賦予了SkyMavis代表其簽署交易的權限。但該權限后續并未被撤銷。

即：攻擊者一旦獲得了SkyMavis的訪問權限，即可通過gas-freeRPC獲得AxieDAO的簽名。

在此，CertiK利用CertiKSkytrace總結了一份資金流動去向圖：

總結及建議

此次事件是由于私鑰管理不善而造成的。

SkyMavis在項目中應用了多簽來避免單點故障，這是安全方面的一大進步。多簽指的是需要多個密鑰來授權交易，而不是一個密鑰的單一簽名。

然而早期活動期間發放的權限未被撤銷，從而令黑客有機可乘。因此切記在事件或功能完成后撤銷允許列表以及白名單訪問是非常重要的。

本次事件的預警已于第一時間在CertiK官方推特進行了播報。

除此之外，CertiK官網https://www.certik.com/也已添加社群預警功能。在官網上，大家可以隨時看到與漏洞、黑客襲擊以及RugPull相關的各種社群預警信息。

參考鏈接：

https://roninblockchain.substack.com/p/community-alert-ronin-validators?s=w?

https://rekt.news/ronin-rekt/

Tags：RONtronTROAPPRonin NetworkTron SocietyTronLink錢包中文bitpie官網下載app蘋果手機版

火幣交易所