ต้นฉบับ |. Odaily Planet Daily ( @OdailyChina )

ผู้แต่ง |. แอช ( @Asher_ 0210 )

บ่ายวานนี้ (6 สิงหาคม) ตามการติดตาม Paidun เกมบล็อกเชน Ronin ถูกสงสัยว่าถูกแฮ็ก และประมาณ 4,000 ETH และ 2 ล้าน USDC ถูกขโมยไป มูลค่าประมาณ 12 ล้านดอลลาร์สหรัฐ

4,000 ETH ถูกขโมย

ประมาณ 2 ล้าน USDC ถูกขโมย

โรนินโดนขโมยอีกแล้วเหรอ? ปฏิกิริยาที่เกิดขึ้นทันทีจากชุมชนต่าง ๆ กลายเป็นความไม่เชื่อมากขึ้น “ทุกคนต่างตั้งตารอที่ระบบนิเวศของ Ronin จะเปิดตัวเกมยอดนิยมอย่าง Pixels อีกครั้ง คราวนี้การโจรกรรมจะเกิดขึ้นได้อย่างไร?” บางคนถึงกับพูดติดตลกว่า “เป็นไปได้ไหม? ซื้อในราคาต่ำ ยังไงก็ไม่น่าจะถูกโจมตีสองครั้งในหนึ่งปี!”

หลังจากที่เหตุการณ์การโจรกรรมแพร่กระจายอย่างรวดเร็วในชุมชน ราคาของ RON ก็ลดลงอีกในแนวโน้มขาลงเดิม โดยลดลงต่ำสุดที่ $1.25 ซึ่งลดลงมากกว่า 8% ในช่วงเวลาสั้น ๆ

ที่มา: coinecko

ทีมงานตอบกลับทันที: Ronin Bridge ถูกปิดการใช้งานชั่วคราว และข้อมูลเพิ่มเติมจะเปิดเผยในภายหลัง

เพื่อตอบสนองต่อความกังวลของชุมชนเกี่ยวกับสะพาน Ronin ที่ถูกโจมตี Ronin COO Psycheout จึงโพสต์ลงในเว็บไซต์ทันที ทีมงานจะเปิดเผยข้อมูลเพิ่มเติมเร็วๆ นี้ และเน้นว่าปัจจุบันสะพาน Ronin มีทรัพย์สินมากกว่า 850 ล้านดอลลาร์

การตอบสนองของ Ronin COO ต่อเหตุการณ์การโจรกรรม

ขณะเดียวกัน Ronin ยังโพสต์บนแพลตฟอร์ม X ว่าเมื่อเช้าวันนี้ White Hat แจ้ง Ronin ว่าอาจมีช่องโหว่ หลังจากตรวจสอบรายงาน สะพาน Ronin ถูกระงับประมาณ 40 นาทีหลังจากค้นพบการดำเนินการออนไลน์ครั้งแรก ผู้โจมตีถอนเงินประมาณ 4,000 ETH และ 2 ล้าน USDC มูลค่าประมาณ 12 ล้านดอลลาร์สหรัฐ นี่คือจำนวน ETH และ USDC สูงสุดที่สามารถถอนออกจากสะพานได้ในการถอนเงินธุรกรรมครั้งเดียว ขีดจำกัดของสะพานคือการปรับปรุงความปลอดภัยของธุรกรรมขนาดใหญ่ - จำนวนเงินที่ถอนออก การป้องกันที่สำคัญและป้องกันความเสียหายเพิ่มเติมที่เกิดจากช่องโหว่นี้อย่างมีประสิทธิภาพ

Ronin อ้างว่าปัญหาที่เกิดขึ้นหลังจากการอัปเกรดสะพานถูกปรับใช้ผ่านกระบวนการกำกับดูแล ทำให้ สะพานข้ามสายโซ่เข้าใจผิดเกี่ยวกับเกณฑ์การลงคะแนนของผู้ดำเนินการสะพานที่จำเป็นในการถอนเงิน ความพยายามกำลังดำเนินการเพื่อค้นหาวิธีแก้ไขที่สาเหตุที่แท้จริง และการอัปเดตบริดจ์จะต้องได้รับการตรวจสอบอย่างเข้มงวด ก่อนที่จะได้รับการโหวตจากผู้ดำเนินการบริดจ์ให้ใช้งาน ขณะนี้การเจรจากำลังดำเนินไปอย่างต่อเนื่องกับผู้มีบทบาทเหล่านี้ ซึ่งดูเหมือนจะเป็นแฮกเกอร์หมวกขาว และพวกเขาตอบสนองด้วยความสุจริตใจ ไม่ว่าผลลัพธ์ของการเจรจาจะเป็นอย่างไร เงินของผู้ใช้ทั้งหมดจะปลอดภัย และความขาดแคลนใด ๆ จะถูกฝากอีกครั้งเมื่อสะพานเปิด แบ่งปันผลการชันสูตรพลิกศพในสัปดาห์หน้าพร้อมรายละเอียดทางเทคนิคและมาตรการที่วางแผนไว้เพื่อป้องกันเหตุการณ์ที่คล้ายกันไม่ให้เกิดขึ้นในอนาคต

เหตุผลของช่องโหว่: น้ำหนักของระบบช่องโหว่ Ronin Bridge ได้รับการแก้ไขเป็นค่าที่ไม่คาดคิด และสามารถถอนเงินได้โดยไม่ต้องมีลายเซ็นหลายลายเซ็น

หลังจากเหตุการณ์การโจรกรรม ตามการวิเคราะห์โดยทีมรักษาความปลอดภัยของ Beosin สาเหตุที่แท้จริงของพฤติกรรมที่ผิดปกตินี้ก็คือ เมื่อฝ่ายโครงการอัปเกรดสัญญา น้ำหนักของผู้ปฏิบัติงานที่จำเป็นสำหรับการยืนยันธุรกรรมข้ามสายโซ่ไม่ได้รับการเริ่มต้นและกำหนดค่าอย่างเหมาะสม ส่งผลให้ พารามิเตอร์ขั้นต่ำ VoteWeight ในสัญญาเป็นศูนย์ ซึ่งจะทำให้ลายเซ็นของใครก็ตามสามารถผ่านการตรวจสอบข้ามสายโซ่ได้ ปัจจุบัน Ronin Bridge สูญเสีย 3,996 ETH และเงินถูกเก็บไว้ที่ 0xc6aec68dd6272efcbc74fb5308fe7f070437465e (ที่อยู่นี้เป็นบอท MEV ดังนั้นจึงสันนิษฐานว่าอาจเป็นพฤติกรรมหมวกขาว)

การวิเคราะห์ช่องโหว่ ของสะพาน Ronin

โชคดีที่การโจมตีของแฮกเกอร์ต่อ Ronin นั้นเป็น แฮ็กเกอร์หมวกขาวจริงๆ ตามข้อมูลที่เกี่ยวข้องที่เผยแพร่โดย Ronin ในโปรแกรมจะให้รางวัล White Hat ด้วยเงินรางวัล 500,000 ดอลลาร์ ในระหว่างนี้ สะพาน Ronin จะได้รับการตรวจสอบก่อนที่จะเปิดอีกครั้ง และจะมีการแจ้งข้อมูลอัปเดตเมื่อการตรวจสอบดำเนินไป

การรับรองความปลอดภัยของเงินทุนของคุณเป็นสิ่งสำคัญที่สุดเสมอ

เหตุการณ์การโจรกรรมของ Ronin ก่อให้เกิดอารมณ์เชิงลบอย่างรุนแรงในชุมชน เนื่องจากเครือข่าย Ronin เคยถูกแฮกเกอร์โจมตีหลายครั้งก่อนหน้านี้ ส่งผลให้ทุกคนเกิดความอ่อนไหวและความตื่นตระหนกเกี่ยวกับปัญหาด้านความปลอดภัยมากขึ้นไปอีก โชคดีที่เหตุการณ์นี้เกี่ยวข้องกับการโจมตีของแฮกเกอร์หมวกขาวเท่านั้น และเงินทุนของผู้ใช้ในเครือข่าย Ronin ก็ปลอดภัย

อย่างไรก็ตาม แฮกเกอร์ขโมยสกุลเงินดิจิตอลมากกว่าสองเท่า (ในรูปมูลค่าดอลลาร์สหรัฐ) ในช่วงครึ่งแรกของปี 2024 เช่นเดียวกับในช่วงครึ่งแรกของปี 2023 ตามรายงานล่าสุดจากบริษัทข่าวกรองบล็อคเชน TRM Labs ข้อมูลแสดงให้เห็นว่า ณ วันที่ 24 มิถุนายนปีนี้ การขโมยสกุลเงินดิจิทัลมีมูลค่ารวม 1.38 พันล้านดอลลาร์ เทียบกับ 657 ล้านดอลลาร์ในช่วงเวลาเดียวกันของปี 2023 การแฮ็กที่ใหญ่ที่สุดห้าครั้งในปีนี้คิดเป็น 70% ของจำนวนเงินทั้งหมดที่ถูกขโมย จะเห็นได้ว่าด้วยการพัฒนาอย่างรวดเร็วของอุตสาหกรรม Web3 จำนวนเงินที่ถูกขโมยจึงเพิ่มขึ้นอย่างมาก ดังนั้นไม่ว่าจะเป็นผู้ใช้หรือฝ่ายโครงการ การรับรองความปลอดภัยของเงินทุนจึงเป็นสิ่งสำคัญที่สุดเสมอ สำหรับฝั่งโปรเจ็กต์ การโจรกรรมเพียงครั้งเดียวอาจนำไปสู่การสูญเสียผู้ใช้จริงจำนวนมาก ในขณะที่สำหรับผู้ใช้ การขโมยเพียงครั้งเดียวอาจหมายถึง "การทำงานที่ไร้ประโยชน์หนึ่งปี"