원본 | 오데일리 플래닛 데일리( @OdailyChina )

작성자 | 애셔( @Asher_ 0210 )

어제(6일) 오후 파이둔(Paidun) 모니터링에 따르면 게임 블록체인 로닌(Ronin)이 해킹당한 혐의를 받고 있으며, 약 4,000ETH와 200만 USDC, 약 1,200만 달러 상당이 도난당했다.

4000 ETH 도난

약 200만 USDC 도난

로닌이 또 도난당했다고요? 다양한 커뮤니티의 즉각적인 반응은 "모두가 Pixels와 같은 인기 게임을 다시 출시하기를 기대하고 있습니다. 어떻게 도난이 일어날 수 있습니까?"라고 농담하기도 했습니다. 싼 가격에 사면 결국 1년에 두 번 공격받을 일은 없을 것 같아요!”

도난 사건이 커뮤니티에 빠르게 확산된 후 RON의 가격은 원래 하락 추세에서 더욱 하락하여 짧은 기간에 8% 이상 하락한 $1.25까지 떨어졌습니다 .

출처: 코인게코

팀은 즉시 대응했습니다. 로닌 브릿지는 일시적으로 비활성화되었으며 자세한 정보는 나중에 공개될 예정입니다.

Ronin Bridge가 공격당하는 것에 대한 커뮤니티의 우려에 대응하여 Ronin COO Psycheout은 즉시 다음 페이지에 게시했습니다. 팀은 곧 더 많은 정보를 공개하고 Ronin Bridge가 현재 8억 5천만 달러 이상을 확보하고 있음을 강조할 것입니다.

도난 사건에 대한 로닌 COO의 대응

동시에 Ronin은 오늘 오전 X 플랫폼에 White Hat이 Ronin에게 취약점이 있을 수 있음을 알렸다고 게시했습니다. 신고 내용을 확인한 후, 첫 번째 온체인 작업이 발견된 지 약 40분 후에 로닌 브리지가 정지되었습니다. 공격자는 약 4,000 ETH와 200만 USDC, 즉 약 1,200만 달러 가치를 인출했습니다. 이는 단일 거래 출금으로 브릿지에서 출금할 수 있는 최대 금액인 ETH 및 USDC입니다. -금액의 자금 인출은 중요한 보호이며 이 취약점으로 인한 추가 피해를 효과적으로 방지합니다.

로닌은 거버넌스 프로세스를 통해 브리지 업그레이드가 배포된 후 발생한 문제로 인해 크로스체인 브리지가 자금 인출에 필요한 브리지 운영자 투표 임계값을 오해하게 되었다고 주장했습니다. 근본 원인에 대한 해결책을 찾기 위한 노력이 진행 중이며, 브리지 업데이트는 브리지 운영자의 배포 투표에 앞서 엄격한 검토를 거칩니다. 현재 화이트 해커로 보이는 이들과 협상이 진행 중이며, 협상 결과에 관계없이 모든 사용자 자금은 안전하며 부족분은 브릿지가 열리면 재입금될 예정입니다. 향후 유사한 사고가 발생하지 않도록 기술적 세부사항과 계획된 조치를 다음 주 사후 조사 결과를 공유해 주세요.

취약점 원인: 로닌브릿지 취약점 시스템의 가중치가 예상치 못한 값으로 수정되었으며, 다중 서명 없이도 자금이 출금될 수 있습니다.

도난 사건 이후, 버신 보안팀의 분석에 따르면, 이러한 비정상적인 행동의 근본 원인은 프로젝트 당사자가 계약을 업그레이드할 때 크로스체인 거래 확인에 필요한 운영자 가중치가 제대로 초기화 및 구성되지 않아 발생한 것으로 나타났습니다. 계약의 최소VoteWeight 매개변수가 0이면 누구나 서명이 교차 체인 검증을 통과할 수 있습니다. 현재 로닌 브릿지는 3,996 ETH 손실을 입었고 자금은 0xc6aec68dd6272efcbc74fb5308fe7f070437465e에 저장되어 있습니다. (이 주소는 MEV 봇이므로 화이트햇 동작일 가능성이 있는 것으로 추측됩니다.)

로닌 브릿지 취약점 분석

다행스럽게도 Ronin에 대한 해커의 공격은 실제로 White Hat 해커였습니다. Ronin이 공개한 관련 정보에 따르면 프로그램은 $500,000의 현상금으로 White Hat을 보상할 것입니다. 그동안 로닌 브릿지는 재개방 전 감사를 받을 예정이며, 감사가 진행됨에 따라 업데이트가 제공될 예정입니다.

자금의 안전을 보장하는 것이 항상 최우선 과제입니다

Ronin 도난 사건은 Ronin 체인이 이전에 여러 번 해커의 공격을 받아 보안 문제에 대한 모든 사람의 민감성과 공포를 더욱 악화시켰기 때문에 커뮤니티에 강한 부정적인 감정을 불러일으켰습니다. 다행히 이번 사건은 화이트 해커의 공격에 불과해 로닌 체인의 사용자 자금은 안전하다.

그러나 블록체인 정보 회사인 TRM Labs의 최근 보고서에 따르면 해커들은 2023년 상반기에 비해 2024년 상반기에 2배 이상의 암호화폐(미국 달러 가치 기준)를 훔쳤습니다. 데이터에 따르면 올해 6월 24일 현재 암호화폐 도난 규모는 총 13억 8천만 달러로 2023년 같은 기간의 6억 5,700만 달러에 비해 증가했습니다. 올해 현재까지 발생한 5건의 대규모 해킹이 전체 도난 금액의 70%를 차지했습니다. Web3 산업의 급속한 발전으로 인해 도난당한 돈의 양이 크게 증가했음을 알 수 있습니다. 따라서 사용자이든 프로젝트 당사자이든 자금의 안전을 보장하는 것이 항상 최우선 과제입니다. 프로젝트 측면에서는 한 번의 도난으로 인해 많은 수의 실제 사용자가 손실되는 반면 사용자에게는 한 번의 도난이 "1년 간의 작업이 헛된 것"을 의미할 수 있습니다.