Ключевые моменты
-
Мост Ronin содержал 173 600 Ethereum и 25,5 млн долларов США.
-
Мост Ronin и Катана Katana были остановлены.
-
Ведутся работы с представителями правоохранительных органов и инвесторами, чтобы убедиться, что все средства возвращены или возмещены. Все AXS, RON и SLP на Ronin сейчас в безопасности.
В сети Ronin обнаружена брешь в системе безопасности. Сегодня утром стало известно, что 23 марта узлы валидации Sky Mavis Ronin и узлы валидации Axie DAO были скомпрометированы, что привело к краже 173 600 Ethereum и 25,5 млн долларов США с моста Ronin в двух транзакциях ( 1 и 2 ). Злоумышленник использовал взломанные закрытые ключи для подделки вывода средств. Обнаружили атаку сегодня утром после того, как пользователь сообщил, что не может вывести 5 тыс. ETH с моста.
Подробности об атаке
Сеть Sky Mavis Ronin в настоящее время состоит из 9 узлов-валидаторов. Чтобы распознать событие Депозит или Вывод средств, необходимы пять из девяти подписей валидатора. Злоумышленнику удалось получить контроль над четырьмя валидаторами Ронина Sky Mavis и сторонним валидатором, управляемым Axie DAO.
Схема ключей валидатора настроена так, чтобы быть децентрализованной, чтобы ограничить вектор атаки, подобный этому, но злоумышленник нашел бэкдор через наш безгазовый RPC-узел, которым они злоупотребили, чтобы получить подпись для валидатора Axie DAO.
Это берет начало в ноябре 2021 года, когда Sky Mavis запросила помощь у Axie DAO для распространения бесплатных транзакций из-за огромной пользовательской нагрузки. Axie DAO включила Sky Mavis в белый список для подписания различных транзакций от ее имени. Это было прекращено в декабре 2021 года, но доступ не был отозван.
Как только злоумышленник получил доступ к системам Sky Mavis, он смог получить подпись от валидатора Axie DAO, используя безгазовый RPC.
Мы подтвердили, что подпись в злонамеренных выводах средств совпадает с пятью подозреваемыми валидаторами.
Принятые меры
-
Команда Ronin быстро приступила к урегулированию инцидента, как только о нем стало известно, и активно предпринимает шаги для защиты от будущих атак. Для предотвращение атаки, такого типа было увеличино количество валидаторов с пяти до восьми.
-
Поддерживается связь с командами на крупных биржах.
-
Перенос узлов, которые полностью отделены от нашей старой инфраструктуры.
-
Временно приостановили работу Моста Ronin, чтобы исключить возможность дальнейших атак. Binance также отключила свой мост к Ronin и обратно, чтобы избежать ошибки. Мост будет открыт позже, как только убедимся, что средства не могут быть украдены.
-
Временно отключили Katana DEX из-за невозможности арбитража и внесения дополнительных средств в сеть Ronin.
-
Проводятся консультации с Chainalysis, чтобы отслеживать украденные средства.
Где сейчас средства?
Большая часть взломанных средств по-прежнему находится на кошельке хакера: https://etherscan.io/address/0x098b716b8aaf21512996dc57eb0615e2383e2f96 .
Как это произошло?
Взломаны пять приватных ключей валидатора; 4 валидатора Sky Mavis и 1 Axie DAO.
Схема ключа валидатора настроена на децентрализацию, чтобы ограничить такой вектор атаки, как этот, но злоумышленник нашел бэкдор через наш безгазовый RPC-узел, которым они злоупотребили, чтобы получить подпись для валидатора Axie DAO.
Это восходит к ноябрю 2021 года, когда валидатор Axie DAO был внесен в белый список для распространения бесплатных транзакций. Это было прекращено в декабре 2021 года, но IP-адрес валидатора Axie DAO все еще оставался в белом списке.
Как только злоумышленник получил доступ к системам Sky Mavis, он смог получить подпись от валидатора Axie DAO, используя безгазовый RPC.
Мы подтвердили, что подпись в злонамеренных выводах средств совпадает с пятью подозреваемыми валидаторами.
Безопасен ли мне Ронин?
Как мы видели, Ронин не застрахован от эксплуатации, и эта атака усилила важность уделения первоочередного внимания безопасности, сохранения бдительности и смягчения всех угроз. Мы знаем, что доверие нужно заслужить, и используем все имеющиеся в нашем распоряжении ресурсы для развертывания самых сложных мер и процессов безопасности для предотвращения атак в будущем.
Почему нас уведомляют о взломе сейчас?
Команда Sky Mavis обнаружила брешь в системе безопасности 29 марта после сообщения о том, что пользователь не смог вывести 5 тыс. ETH с моста.
Находятся ли средства на Ронине под угрозой?
Депозиты ETH и USDC на Ronin были списаны из бридж-контракта. Мы работаем с представителями правоохранительных органов, судебными криптографами и нашими инвесторами, чтобы гарантировать отсутствие потери средств пользователей. Это наш главный приоритет сейчас.
Все AXS, RON и SLP на Ронине сейчас в безопасности.
Что это означает для пользователей, у которых есть средства в сети Ronin?
На данный момент пользователи не могут снимать или вносить средства в сеть Ronin. Sky Mavis стремится обеспечить возврат или возмещение всех потраченных средств.
