- Ronin は 8 月 6 日に、MEV ボットが資金を引き出したため、1,000 万ドルの攻撃を受けました。
- ボットを管理している個人がそれらのアセットをプロトコルに返しました。
ブロックチェーンのセキュリティに強い関心を持つ経験豊富な研究者として、8 月 6 日の Ronin 攻撃は、この急成長するテクノロジーに存在する脆弱性をはっきりと思い出させるものであったと言えます。 MEV ボットが、たとえホワイトハッカーによって監視されていたものであっても、1,000 万ドルの損失を悪用できたという事実は憂慮すべきことであり、この分野における厳格なセキュリティ対策の重要性を浮き彫りにしています。
仮想通貨投資家として、私は最近、ブロックチェーンサイバーセキュリティ企業Verichainsが8月6日に公開したRoninチェーン攻撃について知り、その結果約1000万ドルの損失が発生した。この攻撃は、最終的に資金を返還したホワイトハットハッカーによって制御された MEV (Minimum Extractable Value) ボットから発生しましたが、事件は依然として厄介です。
Verichains のレポートによると、Ronin ブリッジの契約の更新により誤って脆弱性が導入され、それがボットによって資産悪用に利用されたとのことです。このブリッジは、イーサリアムと、Axie Infinity などの有名なゲームをホストするゲームに特化した Ronin ブロックチェーン間の接続として機能します。残念ながら、契約更新では重要な機能が見落とされており、適切な検証なしにブリッジからの不正な引き出しが可能になってしまいました。
このシステムでは、各トランザクションはネットワーク メンバーによって検証され、minimumVoteWeight パラメーターによって促進されるコンセンサス メカニズムを介して進行します。このパラメーターは、入力の totalWeight 変数に依存します。しかし、最後の更新中に、totalWeight が前の契約で意図された値ではなく、誤ってゼロに設定されました。その結果、更新された契約の修正により署名なしで資金を引き出すことができるようになり、ユーザーは署名なしで資金を引き出すことができるようになりました。
8 月 7 日、Composable Security の監査人である Damian Rusniek 氏は、投稿の中で、署名者のアドレスが 0x27120393D5e50bf6f661Fd269CDDF3fb9e7B849f であると指摘しました。しかし、この住所は橋梁運営者のリストには載っていませんでした。これは、このトランザクションには 1 つの署名が必要であり、有効な署名であればどれでも使用できることを意味します。 Rusniek 氏は Verichains 氏と同じ結論に達し、「根本的な原因は、必要なオペレーターの投票の最小数が 0 だったということです。言い換えれば、0 票を持っている人なら誰でも権力を持っていたということです。」と述べています。
浪人は搾取された資金のうち50万ドルをホワイトハットハッカーに提供した
アナリストとして、私はシミュレーションを通じて、MEV ボットがトランザクションを識別して実行したことを発見しました。その結果、残念ながら 1,000 万ドルの脆弱性が暴露される結果となりました。幸いなことに、責任あるハッカーがこれらの資金を返還するために介入し、Ronin ネットワーク開発者が悪者の手に渡る前に積極的に問題に対処できるようになりました。この重要な貢献を認めて、ネットワークはこのホワイト ハッカーにバグ報奨金として 50 万ドルを寛大にも報奨しました。
- キム・ターンブルとは何者で、どのようにしてロミオ・ベッカムと出会ったのでしょうか?彼の素晴らしい新しいガールフレンドについて知っておくべきことすべて
- JPY KRW 予想・見通し・の予想
- WNBAスター、キャメロン・ブリンク、恋人ベン・フェルターと婚約
- 『アウターバンクス』シーズン5ではJJの衝撃的な降板を受けてさらに悪党どもが殺されるのか?
- USD JPY 予想・見通し・の予想
- 「フロム」シーズン3の最終回でジル・グリーンに敬意を表
- SWAT: クリスがショーを降板した理由は次のとおりです
- マイケル・オーアーの訴訟の最中、ブラインド・サイドのトゥーイ・ファミリーについてどうすべきか
- サットン・フォスターの元夫テッドとは?彼女が彼らの結婚について言ったこと
- ヴィネッサ・ヴィドットとは? FBIインターナショナルの女優キャメロンについて知っておくべき4つのこと
2024-08-18 20:30