Bản gốc | Nhật báo hành tinh Odaily ( @OdailyChina )

Tác giả | Asher ( @Asher_ 0210 )

Chiều hôm qua (6/8), theo giám sát của Paidun, blockchain trò chơi Ronin bị nghi ngờ bị hack, khoảng 4.000 ETH và 2 triệu USDC đã bị đánh cắp, trị giá khoảng 12 triệu đô la Mỹ.

4000 ETH bị đánh cắp

Khoảng 2 triệu USDC bị đánh cắp

Ronin lại bị đánh cắp? Phản ứng ngay lập tức từ các cộng đồng khác nhau là nhiều hơn sự hoài nghi. "Mọi người đều mong chờ hệ sinh thái Ronin ra mắt lại các trò chơi phổ biến như Pixels. Làm sao hành vi trộm cắp có thể xảy ra vào thời điểm này?". mua với giá thấp, dù sao thì họ khó có thể bị tấn công hai lần trong một năm!

Sau khi vụ trộm lan nhanh trong cộng đồng, giá RON tiếp tục giảm theo xu hướng giảm ban đầu, xuống mức 1,25 USD, giảm hơn 8% trong một khoảng thời gian ngắn.

Nguồn: Coinecko

Nhóm đã phản hồi ngay lập tức: Cầu Ronin đã tạm thời ngừng hoạt động và nhiều thông tin hơn sẽ được đưa ra sau.

Đáp lại sự lo lắng của cộng đồng về việc cầu Ronin bị tấn công, COO Psycheout của Ronin đã ngay lập tức đăng tải trên trang Nhóm sẽ sớm công bố thêm thông tin và nhấn mạnh rằng Cầu Ronin hiện có giá trị hơn 850 triệu USD.

Phản ứng của Ronin COO về vụ trộm cắp

Đồng thời, Ronin cũng đăng trên nền tảng X rằng sáng sớm hôm nay, mũ trắng đã thông báo cho Ronin rằng có thể có lỗ hổng. Sau khi xác minh báo cáo, Cầu Ronin đã bị tạm dừng khoảng 40 phút sau khi hoạt động trên chuỗi đầu tiên được phát hiện. Kẻ tấn công đã rút khoảng 4.000 ETH và 2 triệu USDC, trị giá khoảng 12 triệu đô la Mỹ. Đây là số tiền ETH và USDC tối đa có thể rút khỏi cầu trong một lần rút giao dịch. Giới hạn của cầu là để cải thiện tính bảo mật lớn. -Số tiền rút vốn được bảo vệ quan trọng và ngăn chặn hiệu quả thiệt hại thêm do lỗ hổng này gây ra.

Ronin tuyên bố rằng một vấn đề được đưa ra sau khi nâng cấp cầu được triển khai thông qua quy trình quản trị đã khiến cầu liên chuỗi hiểu sai ngưỡng biểu quyết của nhà điều hành cầu cần thiết để rút tiền. Các nỗ lực đang được tiến hành để tìm ra giải pháp cho nguyên nhân cốt lõi và các bản cập nhật cầu sẽ phải được xem xét nghiêm ngặt trước khi được các nhà khai thác cầu bỏ phiếu để triển khai. Các cuộc đàm phán hiện đang diễn ra với những tác nhân này, những người có vẻ là tin tặc mũ trắng và họ đã phản hồi một cách thiện chí, bất kể kết quả của các cuộc đàm phán như thế nào, tất cả tiền của người dùng đều an toàn và mọi khoản thiếu hụt sẽ được gửi lại khi cây cầu mở ra. Chia sẻ kết quả khám nghiệm tử thi vào tuần tới với các chi tiết kỹ thuật và các biện pháp dự kiến nhằm ngăn chặn những sự cố tương tự xảy ra trong tương lai.

Lý do gây ra lỗ hổng: Trọng lượng của hệ thống lỗ hổng Ronin Bridge đã được sửa đổi thành một giá trị không mong muốn và tiền có thể được rút mà không cần nhiều chữ ký.

Sau vụ trộm cắp, theo phân tích của nhóm bảo mật Beosin, nguyên nhân sâu xa của hành vi bất thường này là khi bên dự án nâng cấp hợp đồng, trọng lượng của nhà điều hành cần thiết để xác nhận giao dịch chuỗi chéo không được khởi tạo và định cấu hình đúng cách, dẫn đến tham số tối thiểuVoteWeight trong hợp đồng bằng 0. Điều này cho phép chữ ký của bất kỳ ai vượt qua quá trình xác minh chuỗi chéo. Hiện tại, cầu Ronin đã mất 3.996 ETH và số tiền được lưu trữ tại 0xc6aec68dd6272efcbc74fb5308fe7f070437465e (địa chỉ này là bot MEV nên người ta suy đoán rằng đây có thể là hành vi mũ trắng).

Phân tích lỗ hổng cầu Ronin

May mắn thay, hacker tấn công Ronin thực sự là một hacker mũ trắng. Theo thông tin liên quan được Ronin công bố trên chương trình sẽ thưởng cho White Hat số tiền thưởng 500.000 USD. Trong thời gian chờ đợi, Cầu Ronin sẽ được kiểm tra trước khi mở cửa trở lại và các bản cập nhật sẽ được cung cấp khi quá trình kiểm tra diễn ra.

Đảm bảo an toàn cho tiền của bạn luôn là ưu tiên hàng đầu

Vụ việc trộm Ronin đã gây ra những cảm xúc tiêu cực mạnh mẽ trong cộng đồng vì chuỗi Ronin đã bị hacker tấn công nhiều lần trước đó, càng làm tăng thêm sự nhạy cảm và hoang mang của mọi người về vấn đề bảo mật. May mắn thay, sự cố này chỉ liên quan đến cuộc tấn công của hacker mũ trắng và tiền của người dùng trên chuỗi Ronin vẫn an toàn.

Tuy nhiên, tin tặc đã đánh cắp số lượng tiền điện tử nhiều hơn gấp đôi (tính theo giá trị đồng đô la Mỹ) trong nửa đầu năm 2024 so với nửa đầu năm 2023, theo một báo cáo gần đây từ công ty tình báo blockchain TRM Labs. Dữ liệu cho thấy tính đến ngày 24 tháng 6 năm nay, hành vi trộm cắp tiền điện tử có tổng trị giá 1,38 tỷ USD, so với 657 triệu USD cùng kỳ năm 2023. Năm vụ hack lớn nhất từ đầu năm đến nay chiếm tới 70% tổng số tiền bị đánh cắp. Có thể thấy, với sự phát triển nhanh chóng của ngành Web3, số tiền bị đánh cắp đã tăng lên đáng kể. Vì vậy, dù là người dùng hay bên dự án thì việc đảm bảo an toàn cho quỹ luôn được ưu tiên hàng đầu. Đối với phía dự án, một vụ trộm sẽ dẫn đến việc mất đi một số lượng lớn người dùng thực sự; trong khi đối với người dùng, một vụ trộm có thể đồng nghĩa với việc “một năm làm việc vô ích”.