Kürzlicher Ronin-Hack, der durch einen Fehler verursacht wurde, der es jedem ermöglichte, Gelder ohne Unterschrift abzuheben

• Ronin erlitt am 6. August einen 10-Millionen-Dollar-Angriff, als ein MEV-Bot die Gelder abhob.
• Die Person, die den Bot verwaltet, hat diese Vermögenswerte an das Protokoll zurückgegeben.

Als erfahrener Forscher mit großem Interesse an Blockchain-Sicherheit kann ich sagen, dass der Ronin-Angriff am 6. August eine deutliche Erinnerung an die Schwachstellen dieser aufkeimenden Technologie war. Die Tatsache, dass ein MEV-Bot, selbst wenn er von einem White-Hat-Hacker beaufsichtigt wurde, einen Verlust von 10 Millionen US-Dollar ausnutzen konnte, ist besorgniserregend und unterstreicht die Bedeutung strenger Sicherheitsmaßnahmen in diesem Bereich.

Als Krypto-Investor habe ich kürzlich von dem Ronin-Chain-Angriff erfahren, der am 6. August vom Blockchain-Cybersicherheitsunternehmen Verichains bekannt gegeben wurde und zu einem Verlust von etwa 10 Millionen US-Dollar führte. Obwohl dieser Angriff von einem MEV-Bot (Maximum Extractable Value) ausging, der von einem White-Hat-Hacker gesteuert wurde, der schließlich die Gelder zurückgab, bleibt der Vorfall besorgniserregend.

Dem Bericht von Verichains zufolge führte eine Aktualisierung der Verträge der Ronin-Brücke versehentlich zu einer Schwachstelle, die dann von einem Bot zur Ausbeutung von Vermögenswerten ausgenutzt wurde. Diese Brücke dient als Verbindung zwischen Ethereum und der auf Spiele ausgerichteten Ronin-Blockchain und beherbergt bekannte Spiele wie Axie Infinity. Leider wurde bei der Vertragsaktualisierung eine entscheidende Funktion übersehen, die unbefugte Abhebungen von der Bridge ohne ordnungsgemäße Validierung ermöglicht.

In diesem System wird jede Transaktion von Netzwerkmitgliedern überprüft und über einen Konsensmechanismus abgewickelt, der durch den Parameter „minimumVoteWeight“ erleichtert wird. Dieser Parameter ist für seine Eingabe von der Variablen „totalWeight“ abhängig. Bei der letzten Aktualisierung wurde das Gesamtgewicht jedoch fälschlicherweise auf Null und nicht auf den im vorherigen Vertrag vorgesehenen Wert gesetzt. Dadurch konnten Benutzer Gelder ohne Unterschrift abheben, da ihnen die Änderung des aktualisierten Vertrags dies ermöglichte.

Am 7. August wies Damian Rusniek, ein Composable Security-Prüfer, in einem Beitrag darauf hin, dass die Adresse des Unterzeichners 0x27120393D5e50bf6f661Fd269CDDF3fb9e7B849f sei. Diese Adresse stand jedoch nicht auf der Liste des Brückenbetreibers. Dies bedeutet, dass für diese Transaktion eine einzelne Signatur erforderlich war und es sich dabei um jede gültige Signatur handeln konnte. Rusniek kam zu dem gleichen Schluss wie Verichains und erklärte: „Die Hauptursache war, dass die Mindestanzahl der erforderlichen Betreiberstimmen 0 betrug. Mit anderen Worten: Jeder mit 0 Stimmen hatte die Macht!“

Ronin bot dem White-Hat-Hacker 500.000 US-Dollar der ausgebeuteten Gelder an

Als Analyst habe ich durch Simulationen herausgefunden, dass der MEV-Bot eine Transaktion identifiziert und ausgeführt hatte, die leider dazu führte, dass eine Sicherheitslücke im Wert von 10 Millionen US-Dollar aufgedeckt wurde. Glücklicherweise schritt ein verantwortungsbewusster Hacker ein, um diese Gelder zurückzugeben, sodass die Entwickler des Ronin-Netzwerks das Problem proaktiv angehen konnten, bevor es in die falschen Hände geriet. Als Anerkennung für diesen entscheidenden Beitrag belohnte das Netzwerk den White-Hat-Hacker großzügig mit 500.000 US-Dollar als Bug-Bounty.

Weiterlesen

• Die schwangere Gypsy Rose Blanchard und ihr Freund Ken Urker machen einen Kajakausflug
• Globale Gold-ETFs verzeichnen die stärksten Zuflüsse seit April 2022
• Fans von Taylor Swift behaupten, Travis Kelce in ihrem Musikvideo „I Can Do It With A Broken Heart“ zu erkennen
• „Wie wäre es, wenn der Präsident beschließt, nicht zu kandidieren?“
• Helen Flanagan bricht in Tränen aus, als sie verrät, dass sie sich mit Ex-Scott Sinclair „unsichtbar“ gefühlt hat und ihre Befürchtungen teilt, dass „kein Mann sie jemals lieben wird“ als alleinerziehende Mutter
• Ben Affleck wurde wenige Stunden, nachdem Jennifer Lopez an ihrem zweiten Hochzeitstag die Scheidung eingereicht hatte, zum ERSTEN Mal gesehen
• Ben Higgins‘ Frau Jessica Clarke ist schwanger mit einem kleinen Mädchen
• Ehrliche Geständnisse! Von „Game of Thrones“-Star Kit Harington bis hin zu Gossip Girl Penn Badgley – ein Blick auf Schauspieler, die das Finale ihrer TV-Serie HASSEN
• Kim Kardashians Tochter North nickt Stiefmutter Bianca Censori modisch zu, nachdem sie Kanye Wests neuer Frau näher gekommen ist
• Demi Lovato denkt über die Auswirkungen des „traumatischen“ Kinderstars nach

2024-08-18 20:30