Verichains 詳細報告揭示了 Ronin 鏈攻擊背後的漏洞，導致 1000 萬美元損失

區塊鏈網路安全公司 Verichains 披露了 8 月 6 日發生的 Ronin 鏈攻擊的詳細信息，透露該攻擊造成了約 1000 萬美元的損失。

網路安全公司 Verichains 於 8 月 6 日披露了有關 Ronin 鏈攻擊的詳細信息，該攻擊導致約 1000 萬美元的損失。這次攻擊是由白帽駭客控制的 MEV（最大可提取價值）機器人發動的，白帽駭客後來歸還了資金。然而，該事件引起了重大關注。

網路安全公司 Verichains 於 8 月 6 日披露了有關 Ronin 鏈攻擊的詳細信息，該攻擊導致了大約 1000 萬美元的損失。這次攻擊是由白帽駭客控制的 MEV（最大可提取價值）機器人發動的，白帽駭客後來歸還了資金。然而，這起事件引起了人們的極大關注。

根據 Verichains 的報告，Ronin 橋合約的更新引入了機器人利用的漏洞。這座橋將以太坊與 Ronin 區塊鏈連接起來，Ronin 區塊鍊是一個託管 Axie Infinity 等熱門遊戲的遊戲網路。合約更新忽略了一個關鍵功能，允許任何人在未經驗證的情況下從橋中提取資金。

根據 Verichains 報告，Ronin 橋合約的更新引入了機器人利用的漏洞。這座橋將以太坊與 Ronin 區塊鏈連接起來，Ronin 區塊鍊是一個託管 Axie Infinity 等熱門遊戲的遊戲網路。合約更新忽略了一個關鍵功能，允許任何人在未經驗證的情況下從橋中提取資金。

每筆交易均由網路參與者驗證，並透過最小投票權重變數啟用的共識進行處理。此變數使用totalWeight 變數作為輸入。但在更新過程中，totalWeight 的值被設定為零，而不是先前合約中的值。因此，在更新後的合約允許的情況下，用戶無需簽名即可提取資金。

每筆交易都由網路參與者驗證，並透過最小投票權重變數啟用的共識進行處理。此變數使用totalWeight 變數作為輸入。但在更新過程中，totalWeight 的值被設定為零，而不是先前合約中的值。因此，在更新的合約允許的情況下，用戶無需簽名即可提取資金。

在8 月7 日的X 帖子中，Composable 安全審計員Damian Rusniek 表示：「簽名者是0x27120393D5e50bf6f661Fd269CDDF3fb9e7B849f，但該地址不在網橋運營商列表中簽名。組成。審計員Damian Rusniek 表示，「簽名者是0x27120393D5e50bf6f661Fd269CDDF3fb9e7B849f，但該地址不在網橋運營商列表中，這意味著只需要一個簽名，並且可以使用任何有效簽名。」他們得出了與Verichains 相同的結論，「根本原因是業者的最低投票數為0。

Ronin 向白帽駭客提供了 50 萬美元的被利用資金

Ronin 向白帽駭客提供了 50 萬美元的被利用資金

MEV 機器人透過模擬發現了這一點並執行了交易，導致了 1000 萬美元的漏洞。白帽駭客返還這些資金確保了 Ronin 開發人員在惡意行為者介入之前發現了這個問題。該網路允許個人保留 50 萬美元的被利用價值作為錯誤賞金獎勵。

MEV 機器人透過模擬發現了這一點並執行了交易，導致了 1000 萬美元的利用。白帽駭客返還這些資金確保了 Ronin 開發人員在惡意行為者介入之前發現了這個問題。該網路允許個人保留 50 萬美元的開發價值作為錯誤賞金獎勵。

以上是Verichains 詳細報告揭示了 Ronin 鏈攻擊背後的漏洞，導致 1000 萬美元損失的詳細內容。更多資訊請關注PHP中文網其他相關文章！