為何黑客鍾情 Ronin？三次攻擊背後的隱患

WEEX 唯客博客， 作者：西柚，ChainCatcher 編輯：Marco，ChainCatcher   截至8月12日，再次被黑客攻擊的Ronin跨鏈橋並未對用戶重新開放，頁面還依舊停留在維護狀態中。 就在社區用戶都在期待Ronin生態能再推出一款和Web3農場遊戲Pixels一樣的爆款產品時， Ronin跨鏈橋再次被黑客攻擊了，這次被盜的資產價值約1200萬美元。 迄今為止，Ronin已經發生了三次安全攻擊事件，如果說兩年前（2022年）Ronin跨鏈橋被黑客捲走的6.24億美元是意外，今年2月Ronin傳出被盜被證實是「黑客烏龍」，那麼8月6日的Ronin跨鏈橋再次被黑客攻擊似乎是在意料之中。 早在2月Ronin聯創錢包資產被盜時，就被社區用戶調侃，Ronin不會還有第三次被攻擊了吧？，然而在上次安全事件過去在不到半年的時間內，Ronin還真被黑客再次攻擊了。 一個加密項目一而再、再而三的發生安全事件，對於社區用戶來說，加密項目的安全信譽已流失。 第三次攻擊被盜的1200萬美元已歸還 8月6日晚，據PeckShieldAlert監測，Ronin鏈疑似再次被黑客攻擊，約4000枚ETH和200萬USDC被轉移，損失近1200萬美元。 對於這次突發的安全事故，Ronin聯合創始人兼首席運營官@Psycheout在第一時間發文回復到，Ronin橋已被暫停，正在調查白帽黑客（（指站在黑客的立場攻擊系統以進行安全漏洞排查的程序員）發現的關於MEV漏洞情況。目前，橋上託管的8.5億美元資金是安全的。 隨後，Ronin官方也在社交媒體發文表示，當天早些時候，白帽已通知Ronin橋存在一個潛在漏洞，在核實報告后，並在發現鏈上異常操作后約40分鐘就暫停了Ronin橋。 本次攻擊者轉移了約4000枚ETH和200萬USDC，價值約1200萬美元，這也是單筆交易中可以從Ronin橋中提取的最大ETH和USDC金額，先前設置的橋接器提款金額的限制有效防止了漏洞造成更大的傷害。 針對本次黑客安全攻擊，Ronin表示，今日跨鏈橋合約升級后在治理過程流程部署中引入了一個問題，導致跨鏈橋誤解了提取資金所需的運營商投票門檻。 Ronin稱，本次攻擊行為更像是白帽黑客，已與其進行談判，他們已經做出了善意回應，無論談判結果如何，所有用戶資金都是安全的，任何短缺資金都將在橋樑開放時重新存入。 根據Beosin安全團隊對於本次安全事件梳理分析，Ronin此次異常行為的根本原因在於項目方升級合約時，未正常初始化配置跨鏈交易確認所需的運營商權重，從而使得任何人的簽名都能通過跨鏈驗證，以被黑客乘機攻擊。 最終，Ronin本次安全事件以「黑客歸還了盜取的價值1200萬美元資產」結束了風波。 在8月7日發布的最新公告中，Ronin表示，8月6日Ronin上發生的黑客攻擊確實是白帽黑客所為，白帽黑客最終歸還了轉走的約4000枚ETH以及200萬枚USDC，並且表示將獎勵白帽黑客50萬美元的賞金。 與此同時，Ronin橋接在重新開放前將接受審計，並將與Ronin驗證者推出新的解決方案，以改變跨鏈橋當前的運營方式。 截至8月12日，Ronin跨鏈橋還未對用戶重新開放，網路上鎖倉的加密資產價值7.5億美元，RON價格現報為1.44美元。 儘管Ronin本次攻擊是白帽黑客所為，並最終歸還了所盜取的資金，看似完美地解決了此次安全危機，但社區用戶並不買賬。 社區用戶@Futuresight質疑到，按照Ronin官方說法是白帽黑客在測試，但白帽黑客一般會提前告訴項目方漏洞信息，而不會直接將其資產偷走。 加密KOL@陳劍Jason則在社交媒體發文表示，就在Ronin就在「被黑」利空消息發出來后，RON代幣的價格反而還向上扎了一根針把開了高倍空單的都帶走了。 讓社區用戶不得不懷疑，有沒有可能是項目方監守自盜，操縱幣價。 曾經參與Ronin網路質押的Celi則對ChainCatcher表示，即使本次是白帽黑客所為，但這樣的行為已對Ronin造成了巨大的聲譽損失，用戶對其的安全信任再次減弱。 她解釋道，智能合約升級尤其是跨鏈橋升級，在上線前都需進行徹底檢查，項目方不能有任何僥倖心理，拿這麼多的資金去玩冒險遊戲，好在本次Ronin的損失得到了控制，不然項目的損失會更大。 接連三次被黑客攻擊，Ronin安全信譽已流失 在加密領域，黑客攻擊事件常有發生，即使損失上千萬美元也並不奇怪，根據安全審計公司Beosin發布的最新數據顯示，7月Web3生態因黑客攻擊等造成的總損失金額達2.86億美元，如跨鏈交易聚合器LI.FI就因合約漏洞損失約1160萬美元等。 對於Ronin的本次黑客攻擊，加密社區用戶似乎早已在意料之中，早在今年2月Ronin被傳安全攻擊時，社區用戶就調侃道，不會還有第三次攻擊吧？因此，對於本次安全事件用戶更多是感嘆道，接連被黑客三次攻擊，在加密領域，Ronin還是第一人。 2022年3月，Ronin網路成為加密領域最大規模黑客攻擊的焦點，黑客成功控制了Ronin網路九名驗證者中的五名，並捲走了價值6.24億美元的ETH和USDC，一度成為加密史上涉及數額最多的DeFi黑客攻擊事件，也是鏈游領域發生的最嚴重的一次安全事件。更離譜的是，資金被盜6日後，並經社區提醒，Ronin官方才注意到該漏洞。 經過此次危機后，Ronin網路長期處於低迷狀態，代幣RON也一直維持在1美元以下，直到今年2月Web3農場遊戲Pixel代幣PIXEL在幣安上線，並向Ronin網路質押用戶空投代幣等多種利好，Ronin網路才重新獲得了加密社區用戶關注。 然而就在生態爆款項目Pixel剛掃除Ronin被盜的陰霾時，Ronin網路再次被傳出又被黑客攻擊了。 2月，Web3安全團隊Ancilia.nc在社交媒體表示，監測到價值約1000萬美元的RON被短時間內從Ronin橋中提取並存入Tornado。 很快，Ronin聯創Psycheout回復表示，Ronin和跨鏈橋都沒有問題，這只是一個鯨魚錢包被盜，並通過Tornado Cash混走，而這位被盜的鯨魚竟是Axie Infinity和Ronin Network的聯合創始人Jihoz。 儘管Jihoz發文表示，僅是個人地址遭到安全攻擊，與Ronin鏈的驗證或運營活動無關，是一場黑客烏龍事件，但依舊在社區用戶心中留下了Ronin二次被黑客攻擊的印記。加上這次又是因為跨鏈橋升級出現漏洞，再次被黑客攻擊，雖然危機最終被解除，但是用戶對Ronin的信任已完全被流失，每次提及Ronin，映入腦海的第一個關鍵詞就是容易被盜。 所以當8月6日，Ronin第三次被黑客攻擊時，用戶更多的是感嘆，本來就有被盜PTSD影響，還真的又被攻擊了？過去被黑，現在又被攻擊，那是不是還會有下次被盜？ 更有社區用戶發出質疑，一個跨鏈橋，三天兩頭被攻擊，到底是安全技術不行還是團隊技術不行？ 但加密用戶Lisa則持不同的看法，她認為，Ronin橋被盜是因為橋樑鎖定或託管了大量用戶的資產，是黑客最喜歡的攻擊目標。解釋道，歷史上五次最大的加密貨幣黑客攻擊中有三次與跨鏈橋有關,除了Ronin橋被盜外，還有2022年BNB橋被利用竊取了約5.86億美元，同年2月Wormhole橋也遭遇漏洞攻擊，損失3.26億美元。 截至8月12日，Ronin網路驗證節點已從當初的9個增加至21個，並限制了跨鏈橋每筆資金的轉賬限額，如今網路上質押的RON數量已有2.08以枚，。 Ronin鏈上遊戲生態依舊可期 根據Token Terminal數據顯示，近期Ronin鏈上日活在所有公鏈網路中排名第一，已經超過Tron和Solana，每日活躍用戶數已突破200萬。其中，8月1日，Ronin鏈上日活躍錢包達230萬個，日交易量達350萬筆，創下歷史新高。 曾在DeFiance Capital任職、現負責Ronin生態的@Bailey.ron表示，Ronin是為數不多的致力於並實現真正消費者採用的加密項目之一。 除了鏈上用戶數據表現優異外，Ronin生態內上線多個知名遊戲。 除經典的Axie Infinity 和Pixels外，還有農場生存遊戲Lumiterra、英雄射擊遊戲The Machines Arena、機甲射擊遊戲Kaidro、策略遊戲Wild Forest、角色扮演遊戲Runiverse、卡牌對決鏈游Apeiron等。 且越多越多的遊戲選擇遷移至Ronin，如Runiverse就是7月宣布遷移至Ronin網路的，而Kaidro原本是基於在Immutable的遊戲、Pixels也是從Polygon遷移過來的。 WEEX唯客交易所官網：weex.com