隨著大眾對加密貨幣的興趣及其價值都在蓬勃發展,這些錢也成為了對精通技術的竊賊的有吸引力的目標。

3月29日,Axie Infinity 專屬側鏈Ronin被曝被盜價值6.24 億美元的加密資產(包括173,600 ETH和2550 萬USDC),堪稱有史以來最大的黑客加密貨幣搶劫案之一。

更尷尬的是,這次黑客事件發生在6 天前。

受此影響,AXS價格下跌,RON閃崩,這次重大利空事件詳情如何?又會對AXS幣價造成何種影響呢?

被盜經過

作為一條以太坊側鏈,Ronin 的跨鏈橋採用的是MPC 門限簽名技術,其設置的9 個驗證者密鑰中,需要有5 個或5 個以上的驗證者密鑰批准才能進行存款和取款交易。

而其中有4 個密鑰是由同一個人(即Sky Mavis)負責管理的,這意味著,只要攻擊者控制了Sky Mavis 的密鑰,然後再控制另一個驗證者密鑰,那麼整個Ronin網絡的資金就被黑客掌控了。最終攻擊者設法控制了五個私鑰,其中包括Sky Mavis 的四個Ronin 驗證器和一個由Axie DAO 運行的第三方驗證器。

而目前多數跨鏈橋項目,均採用了這樣的多重簽名技術,因此,理論上,這些項目也都可能會遭受類似的攻擊。

Sky Mavis表示,事件發生後,他們將把交易所需的節點數量增加到8個,一旦確定沒有更多資金可用,它將“在以後”重新開放Ronin 。

事件發生後,Ronin橋和Katana Dex已暫停運行。

被盜原因分析

1. Ronin是GameFi項目Axie Infinity做的遊戲以太坊側鏈,Axie玩家需要將ETH、USDC等跨鏈到Ronin側鏈上玩Axie遊戲;

2. Ronin採用簡易的資產跨鏈模式,用戶在以太坊上向Ronin跨鏈合約轉賬資產,Ronin控制的私鑰錢包在Ronin鏈上給用戶鑄造ETH或USDC。若用戶在Ronin上銷毀USDC、ETH,則Ronin控制的私鑰錢包簽名提幣證明,用戶拿提幣證明調用以太坊跨鏈合約贖回USDC、ETH等資產;

3. 這意味著Ronin控制的私鑰錢包配置在服務器上,並且第三方服務可訪問,在服務器上就存在被盜私鑰可能性。

項目方所採取的行動

事件曝光後,項目方便迅速採取行動,並積極採取了以下措施防範未來的攻擊。

1、為了防止進一步的短期損害,將驗證人門檻從5 個增加到8 個。

2、及時與主要交易所的安全團隊保持聯繫,將在未來幾天內與所有人建立聯繫。

3、正在遷移節點,與舊基礎設施完全分離。

4、暫時暫停Ronin Bridge,確保沒有進一步的攻擊向量保持開放。保險起見Binance 還暫時禁用了他們與Ronin 之間的橋樑。

5、由於無法套利和向Ronin Network 存入更多資金,暫時禁用了Katana DEX。

6、正在與Chainalysis 合作監控被盜資金。

下一步

項目方正與各個政府機構直接合作,以確保將罪犯繩之以法。

正在與Axie Infinity / Sky Mavis 利益相關者討論如何最好地推進並確保沒有用戶的資金損失。

Sky Mavis 長期存在,並將繼續建設。

關於跨鏈

上個月,黑客以3.2 億美元的價格利用了蟲洞橋。今天,黑客以6.25 億美元的價格利用了Ronin Bridge。這不得不讓我們再次重視一個問題:跨鏈橋也許比我們意識到的要脆弱得多。

V神曾經發布文章表示:關於為什麼未來將是*多鏈*,但不會是*跨鏈*的論點——跨越多個“主權區域”的橋樑的安全性存在根本限制。此次Ronin Bridge被盜6.24億美元,讓我們不得不重視跨鏈所帶來的安全性問題。

目前以太坊生態最依賴的rollup 跨鏈橋,相比側鏈跨鏈橋,當前的rollup 跨鏈橋可能看上去並沒有什麼本質上的不同,兩者都會依賴n-of-m 聯邦信任模型(也就是多重簽名),但rollup 跨鏈橋可以隨著發展去掉這個信任模型,而最終的風險點在於智能合約本身,而側鏈的跨鏈橋,當前只能依賴這個聯邦信任模型,同時還會面臨智能合約風險以及51% 攻擊風險。

一些簡單的建議

跨鏈的水太深了,幾乎每種方案都會面臨多種潛在的攻擊方式,系統設計的越複雜,遭遇攻擊的可能性也就越大,因此,並不建議通過現有的跨鏈橋在各個公鏈之間轉移太多的資產。如果實在有需求,可以採取以下幾種方式,以降低遭遇攻擊的風險;

  1. 通過較安全的中心化交易所,兌換對應鏈的原生資產,然後將其提取到相應鏈,以避免可能發生的智能合約風險。

  2. 採用信任最小化的跨鏈橋,例如IBC、Nomad 以及成熟的rollup 跨鏈橋。

  3. 暫時不看TVL指標,這個值越高,跨鏈橋被黑客攻擊的可能性也就越大。

  4. 採用長期存在,並且從未出過安全事故的跨鏈橋,同時盡量避免使用不同生態之間的跨鏈橋。

寫在最後

此次事件被盜了6億美金金額巨大,一旦追不回,AXS賠付用戶損失資金的可能性極低,現在只能等待官方後續的公告,如果沒有做好賠付,AXS很有可能從此一蹶不振。以後也很難恢復元氣了,一旦失去了用戶的信任,Ronin作為一條側鏈也基本掛了。

Ronin這次的被盜事件,短期會對鏈遊造成不小打擊。 Axs或將剔除出龍頭行列,最後,衷心希望跨鏈橋能夠越來越安全。