香港奇点财经3月30日报道。最近,Axie Infinity侧链Ronin宣称,他们的验证者节点遭入侵,有黑客窃取了17.3万枚以太坊(ETH)和2550万USDC,总价值约达6.2亿美元。
Axie Infinity是目前最成功的区块链游戏之一。其中的Axie是一种NFT数字宠物的名称,玩家利用这种宠物参与游戏社区的互动。游戏玩家可以使用他们的Axies与其他玩家战斗,或是通过开发者的基因算法培育出新的Axies后代。这些Axies既可以用于战斗,也可以用于出售。不少玩家通过培育Axies获得加密货币收益。2021年,该游戏的创作者筹集了1.52亿美元的B轮融资,由著名的风险投资基金Andreessen Horowitz领投。
Axie Infinity的成功带动了Ronin。Ronin是基于Axie Infinity(一款基于区块链的战斗养成游戏)社区创建的以太坊侧链。侧链是与以太坊兼容的独立区块链,与以太坊主网并行运行,可以更有效地处理交易。
Ronin目前采用权威证明(PoA)共识模型,这是一种基于信誉的系统,其验证者数量有限且相对集中。验证者“赌注”他们的声誉而不是数字货币,如果验证者发生不良行为者或对网络产生负面影响,验证者可能会失去声誉。
根据周二(3月29日)在Substack网站上名为“Ronin’s Newsltter”的一篇博客,该Ronin的系统遭到黑客袭击,已经不再允许游戏玩家在Axie Infinity宇宙中转换资产,以及在以太坊和Ronin区块链之间进行换币活动。在Ronin网络上保留数字资金的玩家目前无法进行交易。
Ronin的博客称,在3月23日,他们发现了Sky Mavis的Ronin验证器节点和Axie DAO验证器节点遭到破坏。
在这次事件中,入侵的黑客使用被黑的私钥,伪造来自Ronin跨链桥(Ronin Bridge)的两笔交易的虚假提款。到了3月29日,有顾客投诉无法从Ronin中提取以太坊,有用户称,他们尝试提取5,000以太币,但是操作失败了。
Ronin跨链桥是帮助用户从钱包中转入Ronin用来购买商品的工具。具体来说,用户可以选择“Deposit with Ronin Bridge”,之后Ronin跨链桥就会打开,并连接到用户的以太坊钱包。
在用户选择Deposit之后,就可以看到能从以太坊转币到Ronin区块链的选项。在这里就可以可选择将“以太坊中的ETH”转移到Ronin的钱包中。
根据Ronin的说法,虽然Ronin侧链有9个验证器,需要5个签名才能提款,但黑客通过Ronin的无气体RPC节点(gas-free RPC)找到了一个后门,并滥用该节点来获取Axie DAO验证器的签名。
Ronin表示,这一漏洞源于2021年11月,当时Sky Mavis正在分发免费交易,因为用户负载巨大,所以它请求Axie DAO的帮助,Axie DAO允许Sky Mavis代表其签署各种交易。这项合作已于2021年12月停止,但Axie DAO未撤销许可名单访问权限。
所以一旦攻击者获得了Sky Mavis系统的访问权限,他们就能够通过使用无气体RPC从Axie DAO验证器获取签名。
根据Ronin’s Newsletter的公告,目前,用户暂时无法向Ronin Network提款或存入资金。
Ronin称,未来它们会把验证门槛从5个签名增加到8个,并且正在迁移他们的节点,以便与旧的基础设施完全分离。目前,Ronin跨链和Katana Dex都已经暂停运行,Binance也禁用了他们与Ronin之间的桥梁,Ronin上的所有AXS、RON和SLP(Axie系列的其他三种代币)现在都是安全的。
根据上述博客文章,大部分被黑客盗取的数字货币仍然在黑客钱包中。Ronin正与政府调查机构联手追击黑客,力图绳之以法。
关键词: Ronin遭入侵 损失近6亿美元数字货币 axie infinity roni