史上最大Axie公链Ronin被盗事件回顾

吴说作者|Colin Wu

本期主编|吴小林

北京时间3月29日晚，链游王Axie背后的浪人链被盗最新虚拟货币被盗案，突然曝光，金额超过6.1亿美元，成为史上最大的硬币盗窃案根据发生时的金额（之前金额最大的PolyNetwork已经全部归还，金额在6亿左右）。

事件发生在 3 月 23 日，但官方直到 3 月 29 日才发现，这引起了社区的批评。 Ronin 官方表示，被盗金额为 173,600 ETH 和 25.5M USDC。 3 月 29 日发现，3 月 23 日，Sky Mavis 的 Ronin 验证器节点和 Axie DAO 验证器节点遭到破坏，导致在两笔交易中从 Ronin 桥接了 173,600 ETH 和 2550 万美元的 USDC。攻击者使用被黑的私钥伪造假提款。直到 29 日，在用户报告无法从网桥中提取 5k ETH 后，该攻击才被发现。

Ronin 表示，Sky Mavis 的 Ronin 链目前由 9 个验证者组成。为了识别存款事件或提款事件，需要九个验证者签名中的五个。攻击者设法控制了 Sky Mavis 的四个 Ronin 验证器和一个由 Axie DAO 运行的第三方验证器。

SlowMist 表示：事情的背景可以追溯到去年 11 月，当时 Sky Mavis 要求 Axie DAO 帮助分发免费交易。由于巨大的用户负载，Axie DAO 将 Sky Mavis 列入白名单，允许 Sky Mavis 代表其签署各种交易，这一过程于 12 月停止。但是，对白名单的访问权限并未被撤销，这使得攻击者一旦获得对 Sky Mavis 系统的访问权限，就可以通过无气体 RPC 从 Axie DAO 验证器进行签名。 Sky Mavis 的 Ronin 链目前由九个验证节点组成，其中至少需要五个签名来识别存款或取款事件。攻击者通过无气体 RPC 节点发现了一个后门，最终攻击者成功控制了五个私钥，包括 Sky Mavis 的四个 Ronin 验证器和一个由 Axie DAO 运行的第三方验证器。

BlockSec 分析显示，资金被盗成功后，攻击者立即将被盗的 USDC 转移到 Uniswap 和 1inch 以换取 Ether。具体来说，被盗的 USDC 分别通过 0x6656、0xe708 两个中间地址流入 Uniswap 和 1inch，交换的 Ether 沿同一路径返回攻击者地址 0x098B。至此，所有被盗的资金都统一成了以太币。攻击者随后从 3 月 28 日开始陆续转移 ETH。截至目前，攻击者地址中仍有约 175,913 ETH 的被盗资金尚未转移，约 1,279 ETH 的被盗资金仍在转移过程中。

攻击者共获得182,162.86 ETH（其中173,600 ETH被直接盗取，被盗USDC兑换共计8,562.86 ETH）。

根据SlowMist MistTrack的分析，黑客首先分发了6250 ETH，将1220 ETH转入FTX，1 ETH转入Crypto.com，3750 ETH转入火币。值得注意的是最新虚拟货币被盗案，此次黑客攻击的资金来源是从币安提取的1.0569 ETH。但慢雾表示，这并不意味着黑客愚蠢到不会洗钱。这也是一种常见的简单粗暴的洗钱方式，使用假KYC、代理IP、假设备信息等。从慢雾目前获得的特殊情报来看，黑客并不“愚蠢”，也相当狡猾，但复苏仍有希望，尚不确定需要多长时间。这也取决于执法机构的决心。

Safeheron 建议：1、对私钥进行安全多方计算（MPC），消除单点风险； 2、私钥分片分散到多个硬件上进行隔离3、大资金的运作应该有更多的政策审批保护，保证资金变动第一时间得到主要负责人的通知和确认时间; 4、实际被盗时间为3月23日当天，项目方应加强对服务和资金的监控。

币安表示，在 Ronin (RON) 网络发生安全漏洞后，调查团队正在支持 Axie Infinity 团队跟踪与其网桥相关的交易以识别黑客。 Ronin (RON) 网络上的所有存款和取款已于 2022 年 3 月 29 日暂停，潜在的黑客地址已被封锁，并设有专门的监控团队来监控任何异常交易。它还暂停了以太坊网络上的 Wrapped Ether (WETH) 提款，以及将 WETH 转换为 ETH 的能力。 FTX、火币等也纷纷表态。

据彭博社报道，越南游戏工作室 Sky Mavis 是 Axie Infinity 和 Ronin 背后的母公司，该公司表示将赔偿在黑客从 Ronin 的系统中窃取约 6 亿美元后损失资金的在线玩家。 “我们完全致力于尽快补偿我们的球员。我们仍在研究解决方案，这是一个持续的讨论。” Sky Mavis 在 Axie 与 Ronin 的项目上赚了很多钱，所以社区通常会期望像 Jump 这样的东西来弥补损失。

全世界的目光都集中在黑客的地址上，“偷了6亿加密货币怎么洗”，甚至成为网络热议。 Ronin 会像 PolyNetwork 一样幸运地康复吗？还很难说。由于PolyNetwork有众多行业大佬“深度参与”，各方势力强大。相比之下，Ronin和Axie虽然是近年来发展较快的游戏龙头，但在加密行业的人脉、资源和经验显然不够充分。

另外，近期行业内黑客事件频发，快速恢复的寥寥无几。比如从 Wormhole 被盗的 120,000 ETH 数额也很大，Jump 直接填满后一直没有追回； Cashio最近被盗5200万美元。只是从不需要的人那里拿钱，而不是从需要的人那里拿钱。”展望未来，没有关于中心化交易所巨额资金盗窃事件的报道。唯一幸运的是Bitfinex。2月9日今年，美国司法部突然宣布逮捕两名参与Bitfinex 2016年近12万货币盗窃案的涉案人员，追回超过9.4万枚比特币。

从历史上看，PolyNetwork 的运气可能真的是偶然的。正如慢雾所说，需要恢复取决于执法机构的决心，尤其是美国执法机构的努力，再加上大量行业安全机构的长期参与，甚至黑客本身都有漏洞。但这很有可能是一个长期的追索权。

参考文章

#wechat_redirect

根据央行等部门发布的《关于进一步防范和处置虚拟货币交易炒作风险的通知》，本文内容仅供信息共享之用，不做任何宣传和背书经营投资行为，请读者严格遵守所在地区的法律法规，不得参与任何非法金融活动。吴说，内容未经允许不得转载、复制，违者将追究法律责任。