- 6 августа компания Ronin пострадала от атаки на сумму 10 миллионов долларов, когда бот MEV вывел средства.
- Человек, управляющий ботом, вернул эти ресурсы в протокол.
Как опытный исследователь, проявляющий большой интерес к безопасности блокчейна, я могу сказать, что атака Ronin 6 августа стала ярким напоминанием об уязвимостях, существующих в этой растущей технологии. Тот факт, что бот MEV, даже тот, которым руководил хакер в белой шляпе, смог воспользоваться потерей в 10 миллионов долларов, вызывает беспокойство и подчеркивает важность строгих мер безопасности в этой области.
📱 🚀 Перестаньте бесцельно прожигать жизнь! Присоединяйтесь к нашему Telegram-каналу @lospopadosos, чтобы узнавать последние новости о мобильных гаджетах. Потому что кому нужно реальное общение с людьми, когда вы можете наслаждаться чудесами технологий? 😎 💥 👇
top-mob.com Telegram
Как криптоинвестор, я недавно узнал об атаке на цепочку Ronin, раскрытой 6 августа фирмой по кибербезопасности блокчейнов Verichains, которая привела к потере примерно 10 миллионов долларов. Хотя эта атака была организована ботом MEV (Maximum Extractable Value), контролируемым хакером, который в конечном итоге вернул средства, инцидент по-прежнему вызывает тревогу.
Согласно отчету Verichains, обновление контрактов моста Ronin непреднамеренно привело к появлению уязвимости, которая затем была использована ботом для эксплуатации активов. Этот мост служит связующим звеном между Ethereum и ориентированным на игры блокчейном Ronin, на котором размещаются такие известные игры, как Axie Infinity. К сожалению, в обновлении контракта упущена важная функция, позволяющая несанкционированный уход с моста без надлежащей проверки.
В этой системе каждая транзакция проверяется участниками сети и осуществляется с помощью механизма консенсуса, чему способствует параметр минимальногоVoteWeight. Этот параметр зависит от входной переменной totalWeight. Но во время последнего обновления TotalWeight был ошибочно установлен на ноль, а не на предполагаемое значение в предыдущем контракте. В результате пользователи получили возможность выводить средства без подписи благодаря модификации обновленного контракта, позволяющей им это делать.
7 августа Дамиан Русник, аудитор Composable Security, указал в своем сообщении, что адрес подписывающего лица: 0x27120393D5e50bf6f661Fd269CDDF3fb9e7B849f. Однако этого адреса не было в списке оператора моста. Это означает, что для этой транзакции требовалась одна подпись, и это могла быть любая действительная подпись. Русниек пришел к тому же выводу, что и Verichains, заявив: «Основная причина заключалась в том, что минимальное количество требуемых голосов оператора было 0. Другими словами, любой, у кого было 0 голосов, имел власть!»
Ронин предложил хакеру White Hat $500 000 из использованных средств
Как аналитик, с помощью моделирования я обнаружил, что бот MEV идентифицировал и выполнил транзакцию, которая, к сожалению, привела к раскрытию уязвимости стоимостью 10 миллионов долларов. К счастью, ответственный хакер вмешался и вернул эти средства, что позволило разработчикам сети Ronin активно решить проблему, прежде чем она попала в чужие руки. В знак признания этого важного вклада сеть любезно наградила хакера в белой шляпе 500 000 долларов в качестве вознаграждения за обнаружение ошибок.
Смотрите также
- Магазин Fortnite на 21.11.2024
- Прогнозы цен на ApeCoin: анализ криптовалюты APE
- Примечания к раннему патчу Fortnite 32.11: Juice WRLD Chug Cannon, Kit’s Mythics и многое другое
- Трэвис Скотт возвращается в Fortnite? Все, что мы знаем
- Боевой пропуск Fortnite OG появится в предстоящем обновлении Crew
- Дисторсия. Как откорректировать дисторсию.
- Прогноз курса доллара к южнокорейской воне
- Режиссер Alan Wake 2 выразил заинтересованность в культовой коллаборации по Fortnite
- Градиентный фильтр.
- Лучшие смартфоны. Что купить в ноябре 2024.
2024-08-18 20:30