为何黑客钟情 Ronin?三次攻击背后的隐患
作者:西柚,ChainCatcher
编辑:Marco,ChainCatcher
截至8月12日,再次被黑客攻击的Ronin跨链桥并未对用户重新开放,页面还依旧停留在维护状态中。
就在社区用户都在期待Ronin生态能再推出一款和Web3农场游戏Pixels一样的爆款产品时, Ronin跨链桥再次被黑客攻击了,这次被盗的资产价值约1200万美元。
迄今为止,Ronin已经发生了三次安全攻击事件,如果说两年前(2022年)Ronin跨链桥被黑客卷走的6.24亿美元是意外,今年2月Ronin传出被盗被证实是“黑客乌龙”,那么8月6日的Ronin跨链桥再次被黑客攻击似乎是在意料之中。
早在2月Ronin联创钱包资产被盗时,就被社区用户调侃,Ronin不会还有第三次被攻击了吧?,然而在上次安全事件过去在不到半年的时间内,Ronin还真被黑客再次攻击了。
一个加密项目一而再、再而三的发生安全事件,对于社区用户来说,加密项目的安全信誉已流失。
第三次攻击被盗的1200万美元已归还
8月6日晚,据PeckShieldAlert监测,Ronin链疑似再次被黑客攻击,约4000枚ETH和200万USDC被转移,损失近1200万美元。
对于这次突发的安全事故,Ronin联合创始人兼首席运营官@Psycheout在第一时间发文回复到,Ronin桥已被暂停,正在调查白帽黑客((指站在黑客的立场攻击系统以进行安全漏洞排查的程序员)发现的关于MEV漏洞情况。目前,桥上托管的8.5亿美元资金是安全的。
随后,Ronin官方也在社交媒体发文表示,当天早些时候,白帽已通知Ronin桥存在一个潜在漏洞,在核实报告后,并在发现链上异常操作后约40分钟就暂停了Ronin桥。
本次攻击者转移了约4000枚ETH和200万USDC,价值约1200万美元,这也是单笔交易中可以从Ronin桥中提取的最大ETH和USDC金额,先前设置的桥接器提款金额的限制有效防止了漏洞造成更大的伤害。
针对本次黑客安全攻击,Ronin表示,今日跨链桥合约升级后在治理过程流程部署中引入了一个问题,导致跨链桥误解了提取资金所需的运营商投票门槛。
Ronin称,本次攻击行为更像是白帽黑客,已与其进行谈判,他们已经做出了善意回应,无论谈判结果如何,所有用户资金都是安全的,任何短缺资金都将在桥梁开放时重新存入。
根据Beosin安全团队对于本次安全事件梳理分析,Ronin此次异常行为的根本原因在于项目方升级合约时,未正常初始化配置跨链交易确认所需的运营商权重,从而使得任何人的签名都能通过跨链验证,以被黑客乘机攻击。
最终,Ronin本次安全事件以“黑客归还了盗取的价值1200万美元资产”结束了风波。
在8月7日发布的最新公告中,Ronin表示,8月6日Ronin上发生的黑客攻击确实是白帽黑客所为,白帽黑客最终归还了转走的约4000枚ETH以及200万枚USDC,并且表示将奖励白帽黑客50万美元的赏金。
与此同时,Ronin桥接在重新开放前将接受审计,并将与Ronin验证者推出新的解决方案,以改变跨链桥当前的运营方式。
截至8月12日,Ronin跨链桥还未对用户重新开放,网络上锁仓的加密资产价值7.5亿美元,RON价格现报为1.44美元。
尽管Ronin本次攻击是白帽黑客所为,并最终归还了所盗取的资金,看似完美地解决了此次安全危机,但社区用户并不买账。
社区用户@Futuresight质疑到,按照Ronin官方说法是白帽黑客在测试,但白帽黑客一般会提前告诉项目方漏洞信息,而不会直接将其资产偷走。
加密KOL@陈剑Jason则在社交媒体发文表示,就在Ronin就在“被黑”利空消息发出来后,RON代币的价格反而还向上扎了一根针把开了高倍空单的都带走了。
让社区用户不得不怀疑,有没有可能是项目方监守自盗,操纵币价。
曾经参与Ronin网络质押的Celi则对ChainCatcher表示,即使本次是白帽黑客所为,但这样的行为已对Ronin造成了巨大的声誉损失,用户对其的安全信任再次减弱。
她解释道,智能合约升级尤其是跨链桥升级,在上线前都需进行彻底检查,项目方不能有任何侥幸心理,拿这么多的资金去玩冒险游戏,好在本次Ronin的损失得到了控制,不然项目的损失会更大。
接连三次被黑客攻击,Ronin安全信誉已流失
在加密领域,黑客攻击事件常有发生,即使损失上千万美元也并不奇怪,根据安全审计公司Beosin发布的最新数据显示,7月Web3生态因黑客攻击等造成的总损失金额达2.86亿美元,如跨链交易聚合器LI.FI就因合约漏洞损失约1160万美元等。
对于Ronin的本次黑客攻击,加密社区用户似乎早已在意料之中,早在今年2月Ronin被传安全攻击时,社区用户就调侃道,不会还有第三次攻击吧?因此,对于本次安全事件用户更多是感叹道,接连被黑客三次攻击,在加密领域,Ronin还是第一人。
2022年3月,Ronin网络成为加密领域最大规模黑客攻击的焦点,黑客成功控制了Ronin网络九名验证者中的五名,并卷走了价值6.24亿美元的ETH和USDC,一度成为加密史上涉及数额最多的DeFi黑客攻击事件,也是链游领域发生的最严重的一次安全事件。更离谱的是,资金被盗6日后,并经社区提醒,Ronin官方才注意到该漏洞。
经过此次危机后,Ronin网络长期处于低迷状态,代币RON也一直维持在1美元以下,直到今年2月Web3农场游戏Pixel代币PIXEL在币安上线,并向Ronin网络质押用户空投代币等多种利好,Ronin网络才重新获得了加密社区用户关注。
然而就在生态爆款项目Pixel刚扫除Ronin被盗的阴霾时,Ronin网络再次被传出又被黑客攻击了。
2月,Web3安全团队Ancilia.nc在社交媒体表示,监测到价值约1000万美元的RON被短时间内从Ronin桥中提取并存入Tornado。
很快,Ronin联创Psycheout回复表示,Ronin和跨链桥都没有问题,这只是一个鲸鱼钱包被盗,并通过Tornado Cash混走,而这位被盗的鲸鱼竟是Axie Infinity和Ronin Network的联合创始人Jihoz。
尽管Jihoz发文表示,仅是个人地址遭到安全攻击,与Ronin链的验证或运营活动无关,是一场黑客乌龙事件,但依旧在社区用户心中留下了Ronin二次被黑客攻击的印记。加上这次又是因为跨链桥升级出现漏洞,再次被黑客攻击,虽然危机最终被解除,但是用户对Ronin的信任已完全被流失,每次提及Ronin,映入脑海的第一个关键词就是容易被盗。
所以当8月6日,Ronin第三次被黑客攻击时,用户更多的是感叹,本来就有被盗PTSD影响,还真的又被攻击了?过去被黑,现在又被攻击,那是不是还会有下次被盗?
更有社区用户发出质疑,一个跨链桥,三天两头被攻击,到底是安全技术不行还是团队技术不行?
但加密用户Lisa则持不同的看法,她认为,Ronin桥被盗是因为桥梁锁定或托管了大量用户的资产,是黑客最喜欢的攻击目标。解释道,历史上五次最大的加密货币黑客攻击中有三次与跨链桥有关,除了Ronin桥被盗外,还有2022年BNB桥被利用窃取了约5.86亿美元,同年2月Wormhole桥也遭遇漏洞攻击,损失3.26亿美元。
截至8月12日,Ronin网络验证节点已从当初的9个增加至21个,并限制了跨链桥每笔资金的转账限额,如今网络上质押的RON数量已有2.08以枚,。
Ronin链上游戏生态依旧可期
根据Token Terminal数据显示,近期Ronin链上日活在所有公链网络中排名第一,已经超过Tron和Solana,每日活跃用户数已突破200万。其中,8月1日,Ronin链上日活跃钱包达230万个,日交易量达350万笔,创下历史新高。
曾在DeFiance Capital任职、现负责Ronin生态的@Bailey.ron表示,Ronin是为数不多的致力于并实现真正消费者采用的加密项目之一。
除了链上用户数据表现优异外,Ronin生态内上线多个知名游戏。
除经典的Axie Infinity 和Pixels外,还有农场生存游戏Lumiterra、英雄射击游戏The Machines Arena、机甲射击游戏Kaidro、策略游戏Wild Forest、角色扮演游戏Runiverse、卡牌对决链游Apeiron等。
且越多越多的游戏选择迁移至Ronin,如Runiverse就是7月宣布迁移至Ronin网络的,而Kaidro原本是基于在Immutable的游戏、Pixels也是从Polygon迁移过来的。