- 6 августа компания Ronin пострадала от атаки на сумму 10 миллионов долларов, когда бот MEV вывел средства.
- Человек, управляющий ботом, вернул эти ресурсы в протокол.
Как опытный исследователь, проявляющий большой интерес к безопасности блокчейна, я могу сказать, что атака Ronin 6 августа стала ярким напоминанием об уязвимостях, существующих в этой растущей технологии. Тот факт, что бот MEV, даже тот, которым руководил хакер в белой шляпе, смог воспользоваться потерей в 10 миллионов долларов, вызывает беспокойство и подчеркивает важность строгих мер безопасности в этой области.
Как криптоинвестор, я недавно узнал об атаке на цепочку Ronin, раскрытой 6 августа фирмой по кибербезопасности блокчейнов Verichains, которая привела к потере примерно 10 миллионов долларов. Хотя эта атака была организована ботом MEV (Maximum Extractable Value), контролируемым хакером, который в конечном итоге вернул средства, инцидент по-прежнему вызывает тревогу.
📊 Хочешь понимать, куда дует ветер на рынке? ТопМоб — мощная аналитика, без воды и хайпа. Не прозевай разворот!
Включай мозг — подписывайсяСогласно отчету Verichains, обновление контрактов моста Ronin непреднамеренно привело к появлению уязвимости, которая затем была использована ботом для эксплуатации активов. Этот мост служит связующим звеном между Ethereum и ориентированным на игры блокчейном Ronin, на котором размещаются такие известные игры, как Axie Infinity. К сожалению, в обновлении контракта упущена важная функция, позволяющая несанкционированный уход с моста без надлежащей проверки.
В этой системе каждая транзакция проверяется участниками сети и осуществляется с помощью механизма консенсуса, чему способствует параметр минимальногоVoteWeight. Этот параметр зависит от входной переменной totalWeight. Но во время последнего обновления TotalWeight был ошибочно установлен на ноль, а не на предполагаемое значение в предыдущем контракте. В результате пользователи получили возможность выводить средства без подписи благодаря модификации обновленного контракта, позволяющей им это делать.
7 августа Дамиан Русник, аудитор Composable Security, указал в своем сообщении, что адрес подписывающего лица: 0x27120393D5e50bf6f661Fd269CDDF3fb9e7B849f. Однако этого адреса не было в списке оператора моста. Это означает, что для этой транзакции требовалась одна подпись, и это могла быть любая действительная подпись. Русниек пришел к тому же выводу, что и Verichains, заявив: «Основная причина заключалась в том, что минимальное количество требуемых голосов оператора было 0. Другими словами, любой, у кого было 0 голосов, имел власть!»
Ронин предложил хакеру White Hat $500 000 из использованных средств
Как аналитик, с помощью моделирования я обнаружил, что бот MEV идентифицировал и выполнил транзакцию, которая, к сожалению, привела к раскрытию уязвимости стоимостью 10 миллионов долларов. К счастью, ответственный хакер вмешался и вернул эти средства, что позволило разработчикам сети Ronin активно решить проблему, прежде чем она попала в чужие руки. В знак признания этого важного вклада сеть любезно наградила хакера в белой шляпе 500 000 долларов в качестве вознаграждения за обнаружение ошибок.
Смотрите также
- Магазин Fortnite на 19.04.2025
- От запугивания любопытства до культурного колосса: 20-летняя история YouTube
- 10 лучших игровых ноутбуков. Что купить в апреле 2025.
- Лучшие ноутбуки с матовым экраном. Что купить в апреле 2025.
- 10 лучших OLED ноутбуков. Что купить в апреле 2025.
- Лидеры роста и падения
- Рейтинг лучших скам-проектов
- Лучшие ноутбуки с глянцевым экраном. Что купить в апреле 2025.
- Неважно, на что вы фотографируете!
- Ремейк The Elder Scrolls 4: Oblivion просочился в сеть со скриншотами
2024-08-18 20:30