攻撃の一環として、未知のハッカーがRonin Networkのバリデータノードの4つを制御することに成功した
..続きを読む
アクシー・インフィニティの開発者スカイ・メイヴィスが人気の非化石ベースのゲームをサポートするために作ったイーサリアムベースのサイドチェーン、ローニンネットワークは、未知のハッカー(またはグループ)に悪用され、今日およそ6億1500万ドル相当の暗号が失われた。
“ローニンブリッジ “は173,600イーサリアムと25.5M USDCのために悪用された。Ronin bridgeとKatana Dexは停止されました “とRonin Networkは今日Twitterで明らかにし、付け加えました。
“我々は、法執行当局、フォレンジック暗号解読者、および我々の投資家と協力して、すべての資金が回収または払い戻されることを確認しています。RoninのAXS、RON、SLPはすべて今現在安全です」
。
ローニンネットワークでセキュリティ侵害が発生しましたhttps://t.co/ktAp9w5qpP
– Ronin (@Ronin_Network) March 29, 2022
..
。
ネットワークのコミュニティアラートによると、RoninチェーンとEthereumメインネット間でユーザーが資産を転送できるブロックチェーン相互運用プロトコルであるRoninブリッジが悪用され、17万3600Ethereum(現在58800万ドル強の価値)と2550万ドル相当のUSDC安定コインを獲得しました
..続きを表示
「本日未明、3月23日にスカイメイビスのRoninバリデータノードとAxie DAOバリデータノードが侵害されたことが判明しました」とスカイメイビスは明かしました。「攻撃者は偽の引き出しを偽造するために、ハッキングされた秘密鍵を使用しました。今朝、ブリッジから5k ETHを引き出せないというユーザーからの報告を受けて、この攻撃を発見しました」
。
「あなたのノードはすべて私たちのものです」
。
開発者はさらに、Roninチェーンは現在9つのバリデータノードで構成されており、そのうち5つのノードは入出金を行うために署名を提供する必要があると説明しました。ハッカーは攻撃の一環として、4つのノードを制御することに成功し、Axie DAOが運営する追加のサードパーティバリデータを使用して、5番目のノードの代わりを務めました
。
「バリデータの鍵スキームは、今回のような攻撃のベクトルを制限するように分散化されて設定されていますが、攻撃者は我々のガスフリーRPCノードからバックドアを見つけて、それを悪用してAxie DAOバリデータの署名を取得しました」と開発者は説明しています。
注目すべきは、スカイメイビスが昨年11月、”膨大なユーザー負荷による無料取引の配布 “のため、Axie DAOに協力を要請したことです。この契約の一環として、Axie DAOはSky Mavisにトランザクションの署名を代行させるために “allowlisted “した。
しかし、2021年12月に契約が打ち切られたものの、発表によると、allowlistのアクセスは取り消されなかったという。”
前進
。
本日の攻撃を受けて、Roninチェーンの開発者はバリデータの閾値を5から8に引き上げ、現在 “主要取引所のセキュリティチームと連絡を取っており、今後数日で全員に連絡する予定です。”と述べています。さらに、サイドチェーンのノードは古いインフラから移行されています.
。
「これ以上攻撃のベクトルが広がらないように、ローニンブリッジを一時的に停止しました。BinanceもRoninとの間のブリッジを無効にし、慎重を期しています。資金が流出しないことが確認されれば、ブリッジは後日開放される予定です」とSky Mavisは述べています。「盗まれた資金を監視するため、Chainalysisと協力しています」
失われた資産の現在のドル価値を考えると、これは分散型金融(DeFi)の歴史上最大のハッキングになる可能性が非常に高いです。暗号取引所のMt.Goxが2014年に約85万ビットコインを失ったことは有名だが(これは現在402億ドルの価値に相当する)、ビットコインの取引価格が現在の数分の1であったため、この数字は当時はるかに小さいものであった。
これまで、クロスチェーンブリッジプロトコルのPoly Networkは、昨年8月に約6億400万ドルを搾取された後、DeFiハックの最大の犠牲者と考えられていた。しかし、このケースでは、ハッカーは後に盗まれた資金のほとんどを返却しています
。
」。