损失超 6.1 亿美元！以太坊侧链Ronin Network被黑分析

MistTrack

在事件发生后，慢雾第一时间追踪分析并于北京时间 3 月 30 日凌晨 1:09 发声。

据慢雾 MistTrack 反洗钱追踪系统分析，黑客在 3 月 23 日就已获利，并将获利的 2550 万枚 USDC 转出，接着兑换为 ETH。

而在 3 月 28 日 2:30:38，黑客才开始转移资金。

据慢雾 MistTrack 分析，黑客首先将 6250 ETH 分散转移，并将 1220 ETH 转移到 FTX、1 ETH 转到 Crypto.com、3750 ETH 转到 Huobi。

值得注意的是，黑客发起攻击资金来源是从 Binance 提币的 1.0569 ETH。

目前，Huobi、Binance 创始人均发表了将全力支持 Axie Infinity 的声明 ，FTX 的 CEO SBF 也在一封电子邮件中表示，将协助取证。

截止目前，仍有近 18 万枚 ETH 停留在黑客地址。

目前黑客只将资金转入了中心化平台，很多人都在讨论黑客似乎只会盗币，却不会洗币。尽管看起来是这样，但这也是一种常见的简单粗暴的洗币手法，使用假 KYC、代理 IP、假设备信息等等。从慢雾目前获取到的特殊情报来看，黑客并不“傻”，还挺狡猾，但追回还是有希望的，时间上需要多久就不确定了。当然，这也要看执法单位的决心如何了。

总结

本次攻击事件主要原因在于 Sky Mavis 系统被入侵，以及 Axie DAO 白名单权限维护不当。同时我们不妨大胆推测下：是不是 Sky Mavis 系统里持有 4 把验证器的私钥？攻击者通过入侵 Sky Mavis 系统获得四个验证节点权限，然后对恶意提款交易进行签名，再利用  Axie DAO 对 Sky Mavis 开放的白名单权限，攻击者通过 gas-free RPC 向 Axie DAO 验证器推送恶意提款交易获得第五个验证节点对恶意提款交易的签名，进而通过  5/9 签名验证。

最后，在此引用安全鹭（Safeheron）的建议：

1、私钥最好通过安全多方计算（MPC）消除单点风险；

2、私钥分片分散到多台硬件隔离的芯片里保护；

3、大资金操作应有更多的策略审批保护，保证资金异动第一时间由主要负责人获悉并确认；

4、被盗实际发生时间是 3 月 23 日，项目方应加强服务和资金监控。

参考链接：

Ronin Network 官方分析：

https://roninblockchain.substack.com/p/community-alert-ronin-validators

文章来源：慢雾科技