后知后觉金钱消失术
在加密世界中,私钥管理和保持私钥安全性,一直是个重要的话题。
近日,当下最流行的NFT游戏AxieInfinity侧链RoninNetwork受到黑客攻击,造成价值约6.1亿美金的加密货币被盗。其中攻击者窃取了17.36万枚ETH以及2550万枚USDC。
值得一提的是,该攻击于3月23日就已发生,但是5天后才因用户报告无法提取5000ETH而发现该攻击。
Messari:Blur旗下NFT借贷协议Blend上约71%已接收贷款的APY为0%:金色财经报道,区块链研究公司Messari在社交媒体发布了对Blur旗下NFT借贷协议Blend的最新分析报告,报告称Blend已经颠覆了传统以太坊链上NFT交易场景,目前已捕获超过50%的交易量和用户群。不过,分析显示Blend上的有机贷款交易活动可能并不多,据Messari披露数据显示,Blend平台上大约71%已接受贷款交易的APY(年化收益率)为0%,另外只有14%的贷款APY在30%以上,这可能说明大部分参与Blend借贷交易的用户只是为了最大化获得Blur空投奖励。[2023/6/5 21:17:16]
AxieInfinity是一款类似口袋妖怪的游戏,玩家可以在游戏中赚取加密货币;RoninNetwork则是为了实现高TransactionsPerSecond(TPS)并且让用户有更流畅游戏体验而开发的侧链;RoninBridge协助将加密货币转入和转出RoninNetwork;它们同属SkyMavis运营。
火必已联合Gala Games将对pGALA增发攻击事件受损用户进行赔偿:4月3日消息,火必发布官方公告,宣布已与Gala Games协商完成pGALA增发攻击事件受损用户赔偿计划,赔偿金额达5000万美金。公告显示,本次赔付将由火必与Gala Games共同承担,其中火必为受损用户提供2500万美金等额现金和权益作为补偿,包括:1500万USDT及1000万等值权益补偿;同样,Gala Games将为受损用户提供2500万美金等值的节点补偿,上述赔偿计划将于本周内启动。
据悉,pGALA事件源于pNetwork协同黑客在BSC链上利用跨链桥漏洞增发10亿美金等值的天量pGALA,并从流动池内抛售并提现,累计获利预计超千万美金。受链上币价大跌及pNetwork故意隐瞒该信息恶意套利的影响,致使Gala Games及火必在内的诸多第三方蒙受巨大损失。除上述赔偿计划,目前火必已与Gala Games达成共识,将通过法律途径对pNetwork进行联合起诉追缴。[2023/4/3 13:41:37]
验证节点失守
DYDX将启动基于Cosmos的私有测试网:金色财经报道,DYDX 宣布将于 3 月 28 日启动其基于 Cosmos 的区块链的私有测试网,并将首次对部分外部方开放。DYDX 正处于从 StarkEx 迁移到 Cosmos 生态系统中。这是一个五个阶段的计划,侧重于最终推出之前的逐步测试。
在第二阶段,交易所为自己的开发人员运行了一个内部测试网,以检查其所有基本功能。第三阶段将看到一个私人测试网,该测试网将向列入白名单的第三方开放,他们将充当网络上的验证者。而最后两个阶段,该交易所的目标是在 7 月推出其公共测试网,然后在 9 月全面启动。[2023/3/27 13:29:31]
为了识别存款及取款事件,Ronin需要验证九个验证节点中的五个签名。而攻击者黑了4个SkyMavis的私钥,制造了5个合法的签名,即:4个SkyMavis验证器和1个AxieDAO运行的第三方验证器产生的签名。
SkyMavis的私钥被入侵后,攻击者利用签名来制造“提款证明”。而在该漏洞发生后,SkyMavis已决定将所需验证节点签名增加至8个。
节点验证虽已去中心化,但黑客却发现了gas-freeRPC的一个后门。
早在2021年11月的一次AxieDAO活动中,AxieDAO赋予了SkyMavis代表其签署交易的权限。但该权限后续并未被撤销。
即:攻击者一旦获得了SkyMavis的访问权限,即可通过gas-freeRPC获得AxieDAO的签名。
6亿美金“何去何从”
在此,CertiK利用CertiKSkytrace总结了一份资金流动去向图:
总结及建议
此次事件是由于私钥管理不善而造成的。
CertiK在此提醒用户和项目方管理私钥的重要性。
SkyMavis在项目中应用了多签来避免单点故障,这是安全方面的一大进步。多签指的是需要多个密钥来授权交易,而不是一个密钥的单一签名。
然而早期活动期间发放的权限未被撤销,从而令黑客有机可乘。因此切记在事件或功能完成后撤销允许列表以及白名单访问是非常重要的。
本次事件的预警已于第一时间在CertiK官方推特进行了播报。
除此之外,CertiK官网https://www.certik.com/也已添加社群预警功能。在官网上,大家可以随时看到与漏洞、黑客袭击以及RugPull相关的各种社群预警信息。
参考链接:
https://roninblockchain.substack.com/p/community-alert-ronin-validators?s=w?
https://rekt.news/ronin-rekt/
头条 ▌纳米比亚央行计划推出CBDC4月9日消息,随着加密货币在全球的兴起并且越来越多地被采用,纳米比亚央行最近发布其金融科技监管框架,并宣布有意推出其中央银行数字货币.
“创建平行链模型的信念是,Web3的未来将涉及许多不同类型的区块链协同工作。正如当前版本的互联网满足不同的需求一样,区块链需要能够提供各种服务。平行链解决了这个问题.
JunoNetwork介绍概览—为什么要有JunoJuno由社区推动开发,是由CosmosSDK打造的一条layer1公链,使用Tendermint共识模块,接入IBC协议.
面对三月上旬中概股史无前例的一泻千里,纵是财大气粗的互联网大厂也坐不住了,Web2大厂频繁传出裁员消息.
摘要:链上数据显示,比特币的每日总交易量在3月16日达到最高点,当时BTC突破了4万美元大关。但在此之后,现货交易量并未出现明显上升,而是回落到三个月平均水平。过去24小时,比特币涨势放缓.
大厂纷纷加码元宇宙,奇了怪了。继腾讯、字节投资花大价钱布局元宇宙之后,又一家互联网大厂加码,这次是阿里巴巴。近日,一则融资新闻又一次让AR行业成为焦点.
区块见闻