在加密世界中,私钥管理和保持私钥安全性,一直是个重要的话题。
近日,当下最流行的NFT游戏Axie Infinity侧链Ronin Network受到黑客攻击,造成价值约6.1亿美金的加密货币被盗。其中攻击者窃取了17.36万枚ETH以及2550万枚USDC。
值得一提的是,该攻击于3月23日就已发生,但是5天后才因用户报告无法提取5000 ETH而发现该攻击。
Axie Infinity是一款类似口袋妖怪的游戏,玩家可以在游戏中赚取加密货币;Ronin Network则是为了实现高Transactions Per Second (TPS)并且让用户有更流畅游戏体验而开发的侧链;Ronin Bridge 协助将加密货币转入和转出 Ronin Network;它们同属Sky Mavis运营。
为了识别存款及取款事件,Ronin需要验证九个验证节点中的五个签名。而攻击者黑了4个Sky Mavis的私钥,制造了5个合法的签名,即:4 个 Sky Mavis 验证器和 1 个 Axie DAO运行的第三方验证器产生的签名。
Sky Mavis的私钥被入侵后,攻击者利用签名来制造“提款证明”。而在该漏洞发生后,Sky Mavis已决定将所需验证节点签名增加至8个。
节点验证虽已去中心化,但黑客却发现了gas-free RPC的一个后门。
早在2021年11月的一次Axie DAO活动中,Axie DAO赋予了Sky Mavis代表其签署交易的权限。但该权限后续并未被撤销。
即:攻击者一旦获得了Sky Mavis的访问权限,即可通过gas-free RPC获得Axie DAO的签名。
在此, CertiK利用CertiK Skytrace总结了一份资金流动去向图:
此次事件是由于私钥管理不善而造成的。
CertiK在此提醒用户和项目方管理私钥的重要性。
Sky Mavis在项目中应用了多签来避免单点故障,这是安全方面的一大进步。多签指的是需要多个密钥来授权交易,而不是一个密钥的单一签名。
然而早期活动期间发放的权限未被撤销,从而令黑客有机可乘。因此切记在事件或功能完成后撤销允许列表以及白名单访问是非常重要的。
参考链接:
https://roninblockchain.substack.com/p/community-alert-ronin-validators?s=w?
https://rekt.news/ronin-rekt/
去年,零知识证明(ZKP)在加密领域和Web3中扮演了重要角色,它在可扩展性和用户许可隐私方面都发挥着重要作用。这是令人兴奋的,因为它为ZK应用程序在整个加密生态系统中的推出奠定了基础,并成为Web3的杀手级功能。 Web3 Web3是一个经常出现的术语,但它有点模糊。乐观地说,它的最佳定义是,它将提供Web1的去中心化和Web2的丰富性。
元宇宙的人货场 这两天,一桩创造历史的融资消息,悄然刷屏。“无聊猿”NFT母公司Yuga Labs,以40亿美元估值融了4.5亿美元的种子轮资金,查遍全网,这个额度算得上是种子轮之最了,按照公布的计划,这笔钱将用来给NFT搭建使用场景,比如手游和元宇宙“Otherside”等。
进入3月份以后,受美联储加息、国际地缘冲突等关键因素影响,促使加密资产得到全球更多人的关注。与此同时,头部资本也在加快与加密行业的融合,开始加紧布局该领域,而该领域中的热点赛道成为资本的博弈战场。 来自虎符交易所Hoo研究院的Leon 搜集整理了3月份具有代表性的20个投资事件,与大家分享。
纽约时报专栏作家Ezra Klein曾提出这样一个观点:目前的互联网尤其缺少的是验证“身份”、“所有权”和“真实性” 。 正是这些东西使创作者有可能因为他们的作品而获得报酬。 2017 年,凭借 CryptoKitties 热潮攀登高峰,NFT 领域开创了一种全新的方式。
1.SEC新提案重新定义“dealer” 或波及DeFi 美国证券交易委员会于3月28日提出了一项新的拟议规则,旨在使更多的交易公司注册为交易商,并公开他们的账簿以接受更严格的监管。
3月23日消息,库客音乐(KUKE.US)投资孵化的古典音乐NFT平台KOLO.Market任命陈苇芬女士担任艺术总监。陈苇芬女士多年来深耕于国际唱片公司、表演艺术经纪与网络媒体等行业,曾就职于环球、索尼、EMI、华纳等国际唱片公司的古典与爵士部,有超过25年以上的古典音乐行业资深经历。
区块见闻