首页  >  文章  >  Verichains 详细报告揭示了 Ronin 链攻击背后的漏洞,导致 1000 万美元损失

Verichains 详细报告揭示了 Ronin 链攻击背后的漏洞,导致 1000 万美元损失

WBOY
WBOY原创
2024-08-19 06:27:29408浏览

区块链网络安全公司 Verichains 披露了 8 月 6 日发生的 Ronin 链攻击的详细信息,透露该攻击造成了约 1000 万美元的损失。

Verichains 详细报告揭示了 Ronin 链攻击背后的漏洞,导致 1000 万美元损失

网络安全公司 Verichains 于 8 月 6 日披露了有关 Ronin 链攻击的详细信息,该攻击导致大约 1000 万美元的损失。这次攻击是由白帽黑客控制的 MEV(最大可提取价值)机器人发起的,白帽黑客后来归还了资金。然而,该事件引起了重大关注。

网络安全公司 Verichains 于 8 月 6 日披露了有关 Ronin 链攻击的详细信息,该攻击导致了大约 1000 万美元的损失。这次攻击是由白帽黑客控制的 MEV(最大可提取价值)机器人发起的,白帽黑客后来归还了资金。然而,该事件引起了人们的极大关注。

根据 Verichains 的报告,Ronin 桥合约的更新引入了机器人利用的漏洞。这座桥将以太坊连接到 Ronin 区块链,这是一个托管 Axie Infinity 等热门游戏的游戏网络。合约更新忽略了一个关键功能,允许任何人在未经验证的情况下从桥中提取资金。

根据 Verichains 报告,Ronin 桥合约的更新引入了机器人利用的漏洞。这座桥将以太坊与 Ronin 区块链连接起来,Ronin 区块链是一个托管 Axie Infinity 等热门游戏的游戏网络。合约更新忽略了一个关键功能,允许任何人在未经验证的情况下从桥中提取资金。

每笔交易均由网络参与者验证,并通过最小投票权重变量启用的共识进行处理。该变量使用totalWeight 变量作为输入。但在更新过程中,totalWeight 的值被设置为零,而不是之前合约中的值。因此,在更新后的合约允许的情况下,用户无需签名即可提取资金。

每笔交易都由网络参与者验证,并通过最小投票权重变量启用的共识进行处理。该变量使用totalWeight 变量作为输入。但在更新过程中,totalWeight 的值被设置为零,而不是之前合约中的值。因此,在更新的合约允许的情况下,用户无需签名即可提取资金。

在 8 月 7 日的 X 帖子中,Composable 安全审计员 Damian Rusniek 表示:“签名者是 0x27120393D5e50bf6f661Fd269CDDF3fb9e7B849f,但该地址不在网桥运营商列表中。这意味着只需要一个签名,并且可以由任何有效签名组成。”他们得出了与 Verichains 相同的结论,“根本原因是运营商的最低投票数为 0。任何人都有 0!”

在 8 月 7 日的 X 帖子中,Composable Security 审计员 Damian Rusniek 表示,“签名者是 0x27120393D5e50bf6f661Fd269CDDF3fb9e7B849f,但该地址不在网桥运营商列表中,这意味着只需要一个签名,并且可以使用任何有效签名。”他们得出了与 Verichains 相同的结论,“根本原因是运营商的最低投票数为 0。任何人都有 0!”

Ronin 向白帽黑客提供了 50 万美元的被利用资金

Ronin 向白帽黑客提供了 50 万美元的被利用资金

MEV 机器人通过模拟发现了这一点并执行了交易,导致了 1000 万美元的漏洞利用。白帽黑客返还这些资金确保了 Ronin 开发人员在恶意行为者介入之前发现了该问题。该网络允许个人保留 500,000 美元的被利用价值作为错误赏金奖励。

MEV 机器人通过模拟发现了这一点并执行了交易,导致了 1000 万美元的利用。白帽黑客返还这些资金确保了 Ronin 开发人员在恶意行为者介入之前发现了该问题。该网络允许个人保留 500,000 美元的开发价值作为错误赏金奖励。

以上是Verichains 详细报告揭示了 Ronin 链攻击背后的漏洞,导致 1000 万美元损失的详细内容。更多信息请关注PHP中文网其他相关文章!

声明:
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn