Der detaillierte Bericht von Verichain deckt Schwachstellen hinter dem Ronin-Chain-Angriff auf, der zu Verlusten in Höhe von 10 Millionen US-Dollar führte

Das Blockchain-Cybersicherheitsunternehmen Verichains hat Einzelheiten des Ronin-Chain-Angriffs vom 6. August bekannt gegeben und enthüllt, dass dieser Verluste in Höhe von etwa 10 Millionen US-Dollar verursacht hat.

Das Cybersicherheitsunternehmen Verichains enthüllte am 6. August Details zum Ronin-Chain-Angriff, der zu einem Verlust von ungefähr 10 Millionen US-Dollar führte. Der Angriff wurde von einem MEV-Bot (Maximum Extractable Value) durchgeführt, der von einem White-Hat-Hacker kontrolliert wurde, der später die Gelder zurückgab. Der Vorfall gab jedoch Anlass zu erheblicher Besorgnis.

Das Cybersicherheitsunternehmen Verichains enthüllte am 6. August Details zum Ronin-Kettenangriff, der zu einem Verlust von etwa 10 Millionen US-Dollar führte. Der Angriff wurde von einem MEV-Bot (Maximum Extractable Value) durchgeführt, der von einem White-Hat-Hacker kontrolliert wurde, der später die Gelder zurückgab. Der Vorfall gab jedoch Anlass zu erheblicher Besorgnis.

Eine Aktualisierung der Verträge der Ronin-Brücke führte laut Verichains-Bericht zu einer Schwachstelle, die der Bot ausnutzte. Diese Brücke verbindet Ethereum mit der Ronin-Blockchain, einem Gaming-Netzwerk, das beliebte Titel wie Axie Infinity hostet. Bei der Vertragsaktualisierung wurde eine kritische Funktion übersehen, die es jedem ermöglichte, ohne Validierung Geld von der Brücke abzuheben.

Eine Aktualisierung der Verträge der Ronin-Brücke führte laut Verichains-Bericht zu einer Schwachstelle, die der Bot ausnutzte. Diese Brücke verbindet Ethereum mit der Ronin-Blockchain, einem Gaming-Netzwerk, das beliebte Titel wie Axie Infinity hostet. Bei der Vertragsaktualisierung wurde eine kritische Funktion übersehen, die es jedem ermöglicht, ohne Validierung Geld von der Brücke abzuheben.

Jede Transaktion wird von Netzwerkteilnehmern validiert und durch einen Konsens verarbeitet, der durch die Variable MinimumVoteWeight ermöglicht wird. Diese Variable verwendet die Variable „totalWeight“ als Eingabe. Aber während der Aktualisierung wurde der Wert von totalWeight auf Null gesetzt und nicht auf den Wert im vorherigen Vertrag. Infolgedessen konnten Benutzer Gelder ohne Unterschrift abheben, wie es der aktualisierte Vertrag erlaubte.

Jede Transaktion wird von Netzwerkteilnehmern validiert und durch einen Konsens verarbeitet, der durch die Variable MinimumVoteWeight ermöglicht wird. Diese Variable verwendet die Variable „totalWeight“ als Eingabe. Aber während der Aktualisierung wurde der Wert von totalWeight auf Null gesetzt und nicht auf den Wert im vorherigen Vertrag. Infolgedessen konnten Benutzer Geld ohne Unterschrift abheben, wie es der aktualisierte Vertrag erlaubte.

In einem Beitrag auf Sie kamen zu dem gleichen Ergebnis wie Verichains: „Die Hauptursache war, dass die Mindeststimmen der Betreiber 0 waren. Jeder hat 0!“ Der Unterzeichner ist 0x27120393D5e50bf6f661Fd269CDDF3fb9e7B849f, aber diese Adresse steht nicht auf der Liste der Bridge-Betreiber. Das bedeutet, dass nur EINE Signatur erforderlich war und es sich dabei um JEDE gültige Signatur handeln konnte. Sie kamen zu dem gleichen Ergebnis wie Verichains: „Die Hauptursache war, dass die Mindeststimmen der Betreiber 0 waren. Jeder hat 0!“

Ronin bot dem White-Hat-Hacker 500.000 US-Dollar der ausgenutzten Gelder an

Ronin bot dem White-Hat-Hacker 500.000 US-Dollar der ausgenutzten Gelder an

Der MEV-Bot hat dies durch Simulationen entdeckt und die Transaktion ausgeführt, was zu dem 10-Millionen-Dollar-Exploit führte. Die Rückgabe dieser Gelder durch den White-Hat-Hacker stellte sicher, dass die Ronin-Entwickler das Problem entdeckten, bevor böswillige Akteure es beheben konnten. Das Netzwerk ermöglichte es dem Einzelnen, 500.000 US-Dollar des ausgenutzten Wertes als Bug-Bounty-Belohnung zu behalten. Die Rückgabe dieser Gelder durch den White-Hat-Hacker stellte sicher, dass die Ronin-Entwickler das Problem entdeckten, bevor böswillige Akteure es beheben konnten. Das Netzwerk ermöglichte es dem Einzelnen, 500.000 US-Dollar des ausgebeuteten Wertes als Bug-Bounty-Belohnung zu behalten.

Das obige ist der detaillierte Inhalt vonDer detaillierte Bericht von Verichain deckt Schwachstellen hinter dem Ronin-Chain-Angriff auf, der zu Verlusten in Höhe von 10 Millionen US-Dollar führte. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!