Ronin 還會有下一次攻擊嘛?
作者:西柚,ChainCatcher
編譯: Marco,ChainCatcher
封面: Ronin
截至 8 月 12 日,再次被駭客攻擊的 Ronin 跨鏈橋並未對用戶重新開放,頁面仍依舊停留在維護狀態。
就在社群用戶都在期待 Ronin 生態能再推出一款和 Web3 農場遊戲 Pixels 一樣的爆款產品時, Ronin 跨鏈橋再次被駭客攻擊了,這次被盜的資產價值約 1200 萬美元。
迄今為止,Ronin 已經發生了三次安全攻擊事件,如果說兩年前(2022 年)Ronin 跨鏈橋被黑客捲走的 6.24 億美元是意外,今年 2 月 Ronin 傳出被盜被證實是 “黑客烏龍”,那麼 8 月 6 日的 Ronin 跨鏈橋再次被黑客攻擊似乎是在意料之中。
早在 2 月 Ronin 聯創錢包資產被偷時,就被社群用戶調侃,Ronin 不會有第三次被攻擊了吧? ,然而在上次安全事件過去在不到半年的時間內,Ronin 還真被駭客再次攻擊了。
一個加密項目一而再、再而三的發生安全事件,對社群用戶來說,加密項目的安全信譽已流失。
第三次攻擊被盜的 1200 萬美元已歸還
8 月 6 日晚,根據 PeckShieldAlert 監測,Ronin 鏈疑似再次被駭客攻擊,約 4,000 枚 ETH 和 200 萬 USDC 被轉移,損失近 1,200 萬美元。
對於這次突發的安全事故,Ronin 聯合創始人兼首席營運官 @Psycheout 在第一時間發文回復到,Ronin 橋已被暫停,正在調查白帽黑客((指站在黑客的立場攻擊系統以進行安全漏洞排查的程式設計師)發現的關於 MEV 漏洞情況。
隨後,Ronin 官方也在社群媒體發文表示,當天早些時候,白帽已通知 Ronin 橋有潛在漏洞,在核實報告後,並在發現鏈上異常操作後約 40 分鐘就暫停了 Ronin 橋。
本次攻擊者轉移了約 4000 枚 ETH 和 200 萬 USDC,價值約 1200 萬美元,這也是單筆交易中可以從 Ronin 橋中提取的最大 ETH 和 USDC 金額,先前設置的橋接器提款金額的限制有效防止了漏洞造成更大的傷害。
針對本次駭客安全攻擊,Ronin 表示,今日跨鏈橋合約升級後在治理流程部署中引入了一個問題,導致跨鏈橋誤解了提取資金所需的營運商投票門檻。
Ronin 稱,本次攻擊行為更像是白帽駭客,已與其進行談判,他們已經做出了善意回應,無論談判結果如何,所有用戶資金都是安全的,任何短缺資金都將在橋樑開放時重新存入。
根據 Beosin 安全團隊對於本次安全事件梳理分析,Ronin 此次異常行為的根本原因在於當專案方升級合約時,未正常初始化配置跨鏈交易確認所需的營運商權重,從而使得任何人的簽名都能透過跨鏈驗證,以被駭客乘機攻擊。
最終,Ronin 本次安全事件以「駭客歸還了盜取的價值 1200 萬美元資產」結束了風波。
在 8 月 7 日發布的最新公告中,Ronin 表示,8 月 6 日 Ronin 上發生的駭客攻擊確實是白帽駭客所為,而白帽駭客最終歸還了轉走的約 4000 枚 ETH 以及 200 萬枚 USDC ,並且表示將獎勵白帽駭客 50 萬美元的賞金。
同時,Ronin 橋接在重新開放前將接受審計,並將與 Ronin 驗證者推出新的解決方案,以改變跨鏈橋目前的運作方式。
截至 8 月 12 日,Ronin 跨鏈橋尚未對用戶重新開放,網路上鎖倉的加密資產價值 7.5 億美元,RON 價格現報為 1.44 美元。
儘管 Ronin 這次攻擊是白帽駭客所為,並最終歸還了所盜取的資金,看似完美地解決了此次安全危機,但社群用戶並不買單。
社群用戶 @Futuresight 質疑到,按照 Ronin 官方說法是白帽駭客在測試,但白帽駭客一般會提前告訴專案方漏洞訊息,而不會直接將其資產偷走。
加密 KOL@陳劍 Jason 在社群媒體上貼文表示,就在 Ronin 就在「被駭」利空消息發出來後,RON 代幣的價格反而還向上紮了一根針把開了高倍空單的都帶走了。
讓社群用戶不得不懷疑,有沒有可能是專案方監守自盜,操縱幣價。
曾經參與 Ronin 網路質押的 Celi 則對 ChainCatcher 表示,即使這次是白帽駭客所為,但這樣的行為已對Ronin 造成了巨大的聲譽損失,用戶對其的安全信任再次減弱。
她解釋道,智能合約升級尤其是跨鏈橋升級,在上線前都需進行徹底檢查,項目方不能有任何僥倖心理,拿這麼多的資金去玩冒險遊戲,好在本次 Ronin 的損失得到了控制,不然項目的損失會更大。
接連三度被駭客攻擊,Ronin 安全信譽已流失
在加密領域,駭客攻擊事件常有發生,即使損失上千萬美元也不奇怪,根據安全審計公司 Beosin 發布的最新數據顯示,7 月 Web3 生態因黑客攻擊等造成的總損失金額達 2.86 億美元,如跨鏈交易聚合器 LI.FI 就因合約漏洞損失約 1,160 萬美元等。
對於 Ronin 的這次駭客攻擊,加密社群用戶似乎早已在意料之中,早在今年 2 月 Ronin 被傳安全攻擊時,社群用戶就調侃道,不會還有第三次攻擊吧?因此,對於本次安全事件用戶更多是感嘆道,接連被駭客三次攻擊,在加密領域,Ronin 還是第一人。
2022 年 3 月,Ronin 網路成為加密領域最大規模駭客攻擊的焦點,駭客成功控制了 Ronin 網路九名驗證者中的五名,並捲走了價值 6.24 億美元的 ETH 和 USDC,一度成為加密史上涉及數量最多的 DeFi 駭客攻擊事件,也是在鏈遊領域發生的最嚴重的安全事件。更離譜的是,資金被竊 6 日後,並經社群提醒,Ronin 官方才注意到漏洞。
經過此次危機後,Ronin 網路長期處於低迷狀態,代幣 RON 也一直維持在 1 美元以下,直到今年 2 月 Web3 農場遊戲 Pixel 代幣 PIXEL 在幣安上線,並向 Ronin 網路質押用戶空投代幣等多種利好,Ronin 網路才重新獲得了加密社群用戶關注。
然而就在生態爆款計畫 Pixel 剛掃除 Ronin 被盜的陰霾時,Ronin 網路再次被傳出又被駭客攻擊了。
2 月,Web3 安全團隊 Ancilia.nc 在社群媒體上表示,監控到價值約 1000 萬美元的 RON 被短時間內從 Ronin 橋中提取並存入 Tornado。
很快,Ronin 聯創 Psycheout 回覆表示,Ronin 和跨鏈橋都沒有問題,這只是一個鯨魚錢包被盜,並透過 Tornado Cash 混走,而這位被盜的鯨魚竟是 Axie Infinity 和 Ronin Network 的聯合創始人 Jihoz。
儘管 Jihoz 發文表示,僅是個人地址遭到安全攻擊,與 Ronin 鏈的驗證或運營活動無關,是一場黑客烏龍事件,但依舊在社區用戶心中留下了 Ronin 二次被黑客攻擊的印記。加上這次又是因為跨鏈橋升級出現漏洞,再次被駭客攻擊,雖然危機最終被解除,但是用戶對 Ronin 的信任已完全被流失,每次提及 Ronin,映入腦海的第一個關鍵詞就是容易被偷。
所以當 8 月 6 日,Ronin 第三次被駭客攻擊時,用戶更多的是感嘆,本來就有被盜 PTSD 影響,真的又被攻擊了?過去被黑,現在又被攻擊,那是不是還會有下次被偷?
更有社群用戶發出質疑,一個跨鏈橋,三天兩頭被攻擊,到底是安全技術不行還是團隊技術不行?
但加密用戶 Lisa 則持不同的看法,她認為,Ronin 橋被盜是因為橋樑鎖定或託管了大量用戶的資產,是駭客最喜歡的攻擊目標。解釋道,歷史上五次最大的加密貨幣黑客攻擊中有三次與跨鏈橋有關, 除了 Ronin 橋被盜外,還有 2022 年 BNB 橋被利用竊取了約 5.86 億美元,同年 2 月 Wormhole 橋也遭遇漏洞攻擊,損失 3.26 億美元。
截至 8 月 12 日,Ronin 網路驗證節點已從當初的 9 個增加至 21 個,並限制了跨鏈橋每筆資金的轉帳限額,如今網路上質押的 RON 數量已有 2.08 以枚,。
Ronin鏈上遊戲生態依舊可期
根據 Token Terminal 數據顯示,近期 Ronin 鏈上日活在所有公鍊網路中排名第一,已經超過 Tron 和 Solana,每日活躍用戶數已突破 200 萬。其中,8 月 1 日,Ronin 鏈上日活躍錢包達 230 萬個,每日交易量達 350 萬筆,創下歷史新高。
曾在 DeFiance Capital 任職、現負責 Ronin 生態的 @Bailey.ron 表示,Ronin 是為數不多的致力於並實現真正消費者採用的加密項目之一。
除了鏈上用戶數據表現優異外,Ronin 生態內上線多個知名遊戲。
除了經典的 Axie Infinity 和 Pixels 外,還有農場生存遊戲 Lumiterra、英雄射擊遊戲 The Machines Arena、機甲射擊遊戲 Kaidro、策略遊戲 Wild Forest、角色扮演遊戲 Runiverse、卡牌對決鏈遊 Apeiron 等。
且越多的遊戲選擇遷移至 Ronin,如 Runiverse 就是 7 月宣布遷移至 Ronin 網路的,而 Kaidro 原本是基於在 Immutable 的遊戲、Pixels 也是從 Polygon 遷移過來的。
免責聲明:作為區塊鏈資訊平台,本站所發布文章僅代表作者及來賓個人觀點,與 Web3Caff 立場無關。文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
