Laporan terperinci Verichains mendedahkan kelemahan di sebalik serangan rantai Ronin, mengakibatkan kerugian $10 juta

Syarikat keselamatan siber Blockchain Verichains telah mendedahkan butiran serangan rantai Ronin yang berlaku pada 6 Ogos, mendedahkan bahawa ia menyebabkan kerugian kira-kira $10 juta.

Firma keselamatan siber Verichains mendedahkan butiran pada 6 Ogos tentang serangan rantai Ronin, yang mengakibatkan kerugian anggaran $10 juta. Serangan itu dilakukan oleh bot MEV (nilai boleh ekstrak maksimum) yang dikawal oleh penggodam topi putih yang kemudiannya memulangkan dana. Bagaimanapun, insiden itu menimbulkan kebimbangan yang ketara.

Firma keselamatan siber Verichains mendedahkan butiran pada 6 Ogos tentang serangan rantaian Ronin, yang mengakibatkan kerugian anggaran $10 juta. Serangan itu dilakukan oleh bot MEV (nilai boleh ekstrak maksimum) yang dikawal oleh penggodam topi putih yang kemudiannya memulangkan dana. Bagaimanapun, kejadian itu menimbulkan kebimbangan yang ketara.

Kemas kini kontrak jambatan Ronin memperkenalkan kelemahan yang dieksploitasi oleh bot, menurut laporan Verichains. Jambatan ini menghubungkan Ethereum ke rantai blok Ronin, rangkaian permainan yang menganjurkan tajuk popular seperti Axie Infinity. Kemas kini kontrak mengabaikan fungsi kritikal, membenarkan sesiapa sahaja mengeluarkan dana daripada jambatan tanpa pengesahan.

Kemas kini kontrak jambatan Ronin memperkenalkan kelemahan yang dieksploitasi bot, menurut laporan Verichains. Jambatan ini menghubungkan Ethereum ke rantai blok Ronin, rangkaian permainan yang menjadi tuan rumah tajuk popular seperti Axie Infinity. Kemas kini kontrak mengabaikan fungsi kritikal, membenarkan sesiapa sahaja mengeluarkan dana dari jambatan tanpa pengesahan.

Setiap transaksi disahkan oleh peserta rangkaian dan diproses melalui konsensus, didayakan oleh pembolehubah minimumVoteWeight. Pembolehubah ini menggunakan pembolehubah totalWeight sebagai input. Tetapi semasa kemas kini, nilai totalWeight ditetapkan kepada sifar, bukannya nilai dalam kontrak sebelumnya. Akibatnya, pengguna boleh mengeluarkan dana tanpa tandatangan, sebagaimana kontrak yang dikemas kini dibenarkan.

Setiap transaksi disahkan oleh peserta rangkaian dan diproses melalui konsensus, didayakan oleh pembolehubah minimumVoteWeight. Pembolehubah ini menggunakan pembolehubah totalWeight sebagai input. Tetapi semasa kemas kini, nilai totalWeight ditetapkan kepada sifar, bukannya nilai dalam kontrak sebelumnya. Akibatnya, pengguna boleh mengeluarkan dana tanpa tandatangan, sebagaimana kontrak yang dikemas kini dibenarkan.

Dalam catatan X pada 7 Ogos, juruaudit Composable Security Damian Rusniek menyatakan, "Penandatangan ialah 0x27120393D5e50bf6f661Fd269CDDF3fb9e7B849f tetapi alamat ini tiada dalam senarai pengendali jambatan. Ini bermakna hanya SATU tandatangan yang diperlukan oleh SEBARANG pun tandatangan." Mereka menyimpulkan dengan penemuan yang sama seperti Verichains, "Puncanya ialah undian minimum pengendali ialah 0. Sesiapa sahaja mempunyai 0!"

Dalam catatan X pada 7 Ogos, juruaudit Composable Security Damian Rusniek menyatakan, " Penandatangan ialah 0x27120393D5e50bf6f661Fd269CDDF3fb9e7B849f tetapi alamat ini tiada dalam senarai pengendali jambatan Ini bermakna hanya SATU tandatangan diperlukan dan boleh dengan SEBARANG tandatangan yang sah. Mereka membuat kesimpulan dengan penemuan yang sama seperti Verichains, "Puncanya ialah undian minimum pengendali ialah 0. Sesiapa sahaja mempunyai 0!"

Ronin Menawarkan $500,000 daripada Dana yang Dieksploitasi kepada Penggodam White Hat

Ronin Menawarkan $500,000 daripada Dana yang Dieksploitasi kepada Penggodam White Hat

Bot MEV menemui perkara ini melalui simulasi dan melaksanakan transaksi, yang membawa kepada eksploitasi $10 juta. Pengembalian dana ini oleh penggodam topi putih memastikan bahawa pemaju Ronin menemui isu itu sebelum pelakon yang berniat jahat dapat melakukannya. Rangkaian membenarkan individu itu menyimpan $500,000 daripada nilai yang dieksploitasi sebagai ganjaran hadiah pepijat.

Bot MEV menemui perkara ini melalui simulasi dan melaksanakan transaksi, yang membawa kepada eksploitasi $10 juta. Pengembalian dana ini oleh penggodam topi putih memastikan bahawa pemaju Ronin menemui isu itu sebelum pelakon yang berniat jahat dapat melakukannya. Rangkaian membenarkan individu itu menyimpan $500,000 daripada nilai yang dieksploitasi sebagai ganjaran hadiah pepijat.

Atas ialah kandungan terperinci Laporan terperinci Verichains mendedahkan kelemahan di sebalik serangan rantai Ronin, mengakibatkan kerugian $10 juta. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!