最近,攻击者从Axi Infinity的侧链 Ronin 跨链桥窃取近价值6.25以太坊1亿美元(Ethereum)和USDC(一种与美元挂钩的稳定货币)。攻击发生在3月23日,但直到3月29日,一名用户无法提取其5000以太坊。
Ronin Network区块链游戏是以太坊连接的侧链Axi Infinity。
本次攻击中,攻击者共计盗取了大约17.36以太坊和2550万USDC。而Ronin bridge和 Katana Dex袭击发生后,紧急停止。
事后,Axi Infinity通过官方Discord和Twitter账号以及Ronin Network披露存在的安全漏洞,
“Ronin Network有安全漏洞。今天早些时候,我们发现Sky Mavis的Ronin验证器节点和Axie DAO3月23日,验证器节点被破坏,导致173、600个以太坊和2550万USDC从两次交易(1和2)开始Ronin桥中流失。
Axi Infinity攻击者:攻击者使用破解的私钥伪造取款。今天早上,在收到一份用户无法从桥上取出5000以太坊的报告后,我们发现了这次攻击。
超过2021年8月,庞大的被盗资金数量使这次攻击成为历史上最大的加密攻击DeFi protocol Poly Network的6.11黑客攻击1亿美元。
当前,Sky Mavis的Ronin链条由9个验证节点组成,9个验证器签名中的5个需要确认交易信息。攻击者试图控制5个验证器签名,Sky Mavis的4个Ronin验证器和一个原因Axie DAO操作第三方验证器。
对此,Axi Infinity 的工作人员解释说,验证器密钥方案是分散的,所以它可以限制攻击向量,但攻击者通过我们的无气体RPC节点找到一个后门,他们用这个后门得到它Axie DAO验证器签名。
目前,Axi Infinity该公司已向执法部门报告,并聘请了一名法医密码学家来调查此事。此外,该公司还表示,它将尽最大努力追回和补偿在袭击中被盗的资金。
参考来源:https://securityaffairs.co/wordpress/129609/cyber-crime/625m-axie-infinity-ronin-hack.html