Safeheron 安全提醒:Ronin 5 个验证者私钥被盗,建议去中心化项目加强私钥的安全与治理
2022-03-30
最后更新于
2022-03-30
最后更新于
By Safeheron 安全团队
3 月 29 日消息,Axie Infinity 侧链 Ronin 跨链桥被盗,攻击者使用被黑的私钥来伪造假提款,目前 Ronin 桥被盗 173,600 ETH 和 2550 万 USDC,Ronin 桥和 Katana Dex 现已停止使用。
据慢雾分析
(1) 黑客获利地址(0x098B716B8Aaf21512996dC57EB0615e2383E2f96)已将 2550 万 USDC 兑换为 ETH,接着将 6250 ETH 分散转移,其中 1221 ETH 转移到交易所平台(FTX 和 Crypto.com),剩余资金余额仍停留在黑客地址;
(2) Ronin 采用简易的资产跨链模式,用户在以太坊上向 Ronin 跨链合约转账资产,Ronin 控制的私钥钱包在 Ronin 链上给用户铸造 ETH 或 USDC。若用户在 Ronin 上销毁 USDC、ETH,则 Ronin 控制的私钥钱包签名提币证明,用户拿提币证明调用以太坊跨链合约赎回 USDC、ETH 等资产;
(3) 这意味着 Ronin 控制的私钥钱包配置在服务器上,并且第三方服务可访问,在服务器上就存在被盗私钥可能性。
Safeheron 建议
1、私钥最好通过安全多方计算(MPC)消除单点风险;
2、私钥分片分散到多台硬件隔离的芯片里保护;
3、大资金操作应有更多的策略审批保护,保证资金异动第一时间由主要负责人获悉并确认;
4、被盗实际发生时间是 3 月 23 日,项目方应加强服务和资金监控。
