Verichains 報告揭示了 Ronin 鏈攻擊細節，強調了關鍵合約漏洞

區塊鏈網路安全公司Verichains披露了8月6日Ronin鏈攻擊的詳細信息，造成約1000萬美元的損失。

區塊鏈網路安全公司 Verichains 提供了有關最近 Ronin 鏈攻擊的更多詳細信息，該攻擊導致近 1000 萬美元被盜。

這次攻擊最終是良性的，因為資金被白帽駭客退回，據報道是由 MEV（最大可提取價值）機器人執行的，凸顯了鏈架構中的一個令人擔憂的漏洞。

根據 Verichains 的報告，Ronin 橋合約的更新引入了一個漏洞，該漏洞被機器人利用來提取資金。這座橋將以太坊連接到 Ronin 區塊鏈，這是一個與遊戲相關的網絡，託管 Axie Infinity 等熱門遊戲。

報告強調，合約更新忽略了一項關鍵功能，最終允許任何人在未經任何驗證的情況下從橋中提取資金。

通常情況下，每筆交易都由網路參與者驗證並透過共識進行處理，這是由minimumVoteWeight變數啟用的。該變數又依賴作為輸入的totalWeight變數。

然而，在更新過程中，totalWeight 的值被設定為零，而不是先前合約中設定的值。因此，用戶無需簽名即可提取資金，因為更新後的合約允許他們這樣做。

在8 月7 日的X 帖子中，Composable Security 的審計員Damian Rusniek 指出，「簽名者是0x27120393D5e50bf6f661Fd269CDDF3fb9e7B849f，但該地址不在網橋是任何有效的簽名。

Rusniek 的發現最終與 Verichains 的結果一致，得出的結論是「根本原因是運營商的最低投票數為 0。任何人都有 0！」

Ronin 向白帽駭客提供 50 萬美元的被利用資金

MEV 機器人透過模擬發現了這一點並提交了交易，從而導致了 1000 萬美元的漏洞。白帽駭客返還這些資金，確保 Ronin 開發人員在壞人接手之前發現問題。

網路最終允許個人保留 50 萬美元的開發價值作為錯誤賞金獎勵。

以上是Verichains 報告揭示了 Ronin 鏈攻擊細節，強調了關鍵合約漏洞的詳細內容。更多資訊請關注PHP中文網其他相關文章！