Ключевые моменты

  • Мост Ronin содержал 173 600 Ethereum и 25,5 млн долларов США.

  • Мост Ronin и Катана Katana были остановлены.

  • Ведутся работы с представителями правоохранительных органов и инвесторами, чтобы убедиться, что все средства возвращены или возмещены. Все AXS, RON и SLP на Ronin сейчас в безопасности.

В сети Ronin обнаружена брешь в системе безопасности. Сегодня утром стало известно, что 23 марта узлы валидации Sky Mavis Ronin и узлы валидации Axie DAO были скомпрометированы, что привело к краже 173 600 Ethereum и 25,5 млн долларов США с моста Ronin в двух транзакциях ( 1 и 2 ). Злоумышленник использовал взломанные закрытые ключи для подделки вывода средств. Обнаружили атаку сегодня утром после того, как пользователь сообщил, что не может вывести 5 тыс. ETH с моста. 

Подробности об атаке

Сеть Sky Mavis Ronin в настоящее время состоит из 9 узлов-валидаторов. Чтобы распознать событие Депозит или Вывод средств, необходимы пять из девяти подписей валидатора. Злоумышленнику удалось получить контроль над четырьмя валидаторами Ронина Sky Mavis и сторонним валидатором, управляемым Axie DAO. 

Схема ключей валидатора настроена так, чтобы быть децентрализованной, чтобы ограничить вектор атаки, подобный этому, но злоумышленник нашел бэкдор через наш безгазовый RPC-узел, которым они злоупотребили, чтобы получить подпись для валидатора Axie DAO.  

Это берет начало в ноябре 2021 года, когда Sky Mavis запросила помощь у Axie DAO для распространения бесплатных транзакций из-за огромной пользовательской нагрузки. Axie DAO включила Sky Mavis в белый список для подписания различных транзакций от ее имени. Это было прекращено в декабре 2021 года, но доступ не был отозван. 

Как только злоумышленник получил доступ к системам Sky Mavis, он смог получить подпись от валидатора Axie DAO, используя безгазовый RPC. 

Мы подтвердили, что подпись в злонамеренных выводах средств совпадает с пятью подозреваемыми валидаторами.

Принятые меры

  1. Команда Ronin быстро приступила к урегулированию инцидента, как только о нем стало известно, и активно предпринимает шаги для защиты от будущих атак. Для предотвращение атаки, такого типа было увеличино количество валидаторов с пяти до восьми.

  2. Поддерживается связь с командами на крупных биржах. 

  3. Перенос узлов, которые полностью отделены от нашей старой инфраструктуры.

  4. Временно приостановили работу Моста Ronin, чтобы исключить возможность дальнейших атак. Binance также отключила свой мост к Ronin и обратно, чтобы избежать ошибки. Мост будет открыт позже, как только убедимся, что средства не могут быть украдены. 

  5. Временно отключили Katana DEX из-за невозможности арбитража и внесения дополнительных средств в сеть Ronin. 

  6. Проводятся консультации с Chainalysis, чтобы отслеживать украденные средства. 

Где сейчас средства? 

Большая часть взломанных средств по-прежнему находится на кошельке хакера: https://etherscan.io/address/0x098b716b8aaf21512996dc57eb0615e2383e2f96 .

Как это произошло?

Взломаны пять приватных ключей валидатора; 4 валидатора Sky Mavis и 1 Axie DAO.

Схема ключа валидатора настроена на децентрализацию, чтобы ограничить такой вектор атаки, как этот, но злоумышленник нашел бэкдор через наш безгазовый RPC-узел, которым они злоупотребили, чтобы получить подпись для валидатора Axie DAO.  

Это восходит к ноябрю 2021 года, когда валидатор Axie DAO был внесен в белый список для распространения бесплатных транзакций. Это было прекращено в декабре 2021 года, но IP-адрес валидатора Axie DAO все еще оставался в белом списке. 

Как только злоумышленник получил доступ к системам Sky Mavis, он смог получить подпись от валидатора Axie DAO, используя безгазовый RPC. 

Мы подтвердили, что подпись в злонамеренных выводах средств совпадает с пятью подозреваемыми валидаторами.

Безопасен ли мне Ронин?

Как мы видели, Ронин не застрахован от эксплуатации, и эта атака усилила важность уделения первоочередного внимания безопасности, сохранения бдительности и смягчения всех угроз. Мы знаем, что доверие нужно заслужить, и используем все имеющиеся в нашем распоряжении ресурсы для развертывания самых сложных мер и процессов безопасности для предотвращения атак в будущем. 

Почему нас уведомляют о взломе сейчас? 

Команда Sky Mavis обнаружила брешь в системе безопасности 29 марта после сообщения о том, что пользователь не смог вывести 5 тыс. ETH с моста.

Находятся ли средства на Ронине под угрозой?

Депозиты ETH и USDC на Ronin были списаны из бридж-контракта. Мы работаем с представителями правоохранительных органов, судебными криптографами и нашими инвесторами, чтобы гарантировать отсутствие потери средств пользователей. Это наш главный приоритет сейчас.

Все AXS, RON и SLP на Ронине сейчас в безопасности.

Что это означает для пользователей, у которых есть средства в сети Ronin?

На данный момент пользователи не могут снимать или вносить средства в сеть Ronin. Sky Mavis стремится обеспечить возврат или возмещение всех потраченных средств.