事件概览

2022年3月29日，Ronin Network发布社区警报：由于验证节点受到入侵，3月23日攻击者通过被黑私钥伪造了两笔提款交易，分别从Ronin bridge中提取了173,600 ETH和25,500,000 USDC。

攻击者伪造的两笔提款交易细节

资金流向

资金盗取成功后，攻击者立刻将被盗USDC转移到Uniswap和1inch以换取Ether。具体来说，被盗USDC经由两个中间地址0x6656、0xe708分别流入Uniswap和1inch，换取到的Ether沿原路返回到攻击者地址0x098B。至此，所有被盗资金被统一成Ether。

被盗USDC流入Uniswap、1inch

被盗USDC换取的Ether被汇总至攻击者地址

被盗USDC的整体流向

攻击者自3月28日起开始陆续转移Ether。截至3月30日，攻击者共从攻击地址中转移出6,250 ETH。通过追踪资金流向可以发现，其中1,220 ETH 流入交易所 FTX，3,750 ETH 进入交易所 Huobi，以及1 ETH 进入交易所 Crypto.com。

Huobi 官方推特已发推文表示将全力支持 Ronin 追回被盗资金。FTX 和 Crypto.com 的 CEO 也分别发推文回应将协助相关调查。

结语

截至目前，约175,913 ETH被盗资金停留在攻击者地址中尚未转移，约1,279 ETH被盗资金仍在转移过程中。BlockSec将持续监控被盗资金动向，及时和社区共享新的发现。

参考

1. https://roninblockchain.substack.com/p/community-alert-ronin-validators?s=w

其他数据

攻击者共接收 182,162.86 ETH（其中直接盗取 173,600 ETH，盗取的 USDC 共换取 8,562.86 ETH）。