创宇区块链实验室解析Ronin安全事件

Ronin是马来西亚网游工作室SkyMavis开发设计的以太币主链，专为适用手机游戏AxieInfinity而搭建。它可以促进客户在不同的链上随意转移财产。

事件基础信息：

2022年3月29日，中国北京时间，RoninNetwork官方发布声明称RoninBridge遭受侵入，造成173600枚ETH（价值约5.9亿美元）和2550万美元的USDC使用价值的损失。

知道创宇区块链技术室第一时间跟踪此次事件，攻击者详细地址为0x098B716B8Aaf21512996dC57EB0615e2383E2f96，交易记录为tx1:0xc28fad5e8d5e0ce6a2eaf67b6687be5d58113e16be590824d6cfa1a94467d0b7和tx2:0xed2c72ef1a552ddaec6dd1f5cddf0b59a8f37f82bdda5257d9c7c37db7bb9b08。

事件简述：

根据官方传出的证据，攻击者通过伪造虚假提款来利用黑客攻击的私钥。直到一位客户于29日早晨因未能从大桥上取出5kETH而向Ronin官方报告，才发现这次攻击。现在，Ronin桥和KatanaDex已终止，官方验证者阈值已从5个提高到8个。

现在，Ronin链由9个验证器连接点构成。为了更好地区分存款事件和提款事件，必须由九个验证者中的五个签名。攻击者利用了SkyMavis的四个Ronin验证器和AxieDAO运营的第三方验证器。验证器密钥计划方案是分散化的，以限制类似本次攻击，但攻击者发现了Ronin的无GasRPC连接点的侧门，从而获得了AxieDAO验证器的签名。

这次事件的起源可追溯到2021年11月份，当时AxieDAO验证器被允许免费交易。尽管这已于2021年12月停止，但AxieDAO验证器IP仍在允许目录中。一旦攻击者浏览了SkyMavis的系统软件，就可以根据无GasRPC从AxieDAO验证器获得签名。

现在，Ronin官方已确认提款事件中的签名与五个异常验证者的签名相符。

汇总：

这次攻击事件的关键在于私钥泄露。尽管官方声称私钥泄露是由社交工程造成的，但官方在受害产生之后一周才公布此次事件，这种做法可能让人怀疑新项目的工作人员可能会偷盗资产。

因此，在此提醒新项目方在公布项目工程后一定要妥善保管私钥，防范钓鱼攻击。此外，最近各种合同系统漏洞安全事件激增，对合同财务审计、风险控制对策、应急计划等方面必须严格落实。