- Ronin は 8 月 6 日に、MEV ボットが資金を引き出したため、1,000 万ドルの攻撃を受けました。
- ボットを管理している個人がそれらのアセットをプロトコルに返しました。
ブロックチェーンのセキュリティに強い関心を持つ経験豊富な研究者として、8 月 6 日の Ronin 攻撃は、この急成長するテクノロジーに存在する脆弱性をはっきりと思い出させるものであったと言えます。 MEV ボットが、たとえホワイトハッカーによって監視されていたものであっても、1,000 万ドルの損失を悪用できたという事実は憂慮すべきことであり、この分野における厳格なセキュリティ対策の重要性を浮き彫りにしています。
仮想通貨投資家として、私は最近、ブロックチェーンサイバーセキュリティ企業Verichainsが8月6日に公開したRoninチェーン攻撃について知り、その結果約1000万ドルの損失が発生した。この攻撃は、最終的に資金を返還したホワイトハットハッカーによって制御された MEV (Minimum Extractable Value) ボットから発生しましたが、事件は依然として厄介です。
Verichains のレポートによると、Ronin ブリッジの契約の更新により誤って脆弱性が導入され、それがボットによって資産悪用に利用されたとのことです。このブリッジは、イーサリアムと、Axie Infinity などの有名なゲームをホストするゲームに特化した Ronin ブロックチェーン間の接続として機能します。残念ながら、契約更新では重要な機能が見落とされており、適切な検証なしにブリッジからの不正な引き出しが可能になってしまいました。
このシステムでは、各トランザクションはネットワーク メンバーによって検証され、minimumVoteWeight パラメーターによって促進されるコンセンサス メカニズムを介して進行します。このパラメーターは、入力の totalWeight 変数に依存します。しかし、最後の更新中に、totalWeight が前の契約で意図された値ではなく、誤ってゼロに設定されました。その結果、更新された契約の修正により署名なしで資金を引き出すことができるようになり、ユーザーは署名なしで資金を引き出すことができるようになりました。
8 月 7 日、Composable Security の監査人である Damian Rusniek 氏は、投稿の中で、署名者のアドレスが 0x27120393D5e50bf6f661Fd269CDDF3fb9e7B849f であると指摘しました。しかし、この住所は橋梁運営者のリストには載っていませんでした。これは、このトランザクションには 1 つの署名が必要であり、有効な署名であればどれでも使用できることを意味します。 Rusniek 氏は Verichains 氏と同じ結論に達し、「根本的な原因は、必要なオペレーターの投票の最小数が 0 だったということです。言い換えれば、0 票を持っている人なら誰でも権力を持っていたということです。」と述べています。
浪人は搾取された資金のうち50万ドルをホワイトハットハッカーに提供した
アナリストとして、私はシミュレーションを通じて、MEV ボットがトランザクションを識別して実行したことを発見しました。その結果、残念ながら 1,000 万ドルの脆弱性が暴露される結果となりました。幸いなことに、責任あるハッカーがこれらの資金を返還するために介入し、Ronin ネットワーク開発者が悪者の手に渡る前に積極的に問題に対処できるようになりました。この重要な貢献を認めて、ネットワークはこのホワイト ハッカーにバグ報奨金として 50 万ドルを寛大にも報奨しました。
- JPY KRW 予想・見通し・の予想
- BTC 予想・見通し・の予想. BTC 暗号通貨
- エイリアン:ロムルスの人間ゼノモーフハイブリッドの説明:最後の生き物は誰ですか?
- ETH 予想・見通し・の予想. ETH 暗号通貨
- BTC JPY 予想・見通し・の予想. BTC 暗号通貨
- USD JPY 予想・見通し・の予想
- J.D.ヴァンスの身長論争を解説:彼の身長は実際どれくらい?
- 妊娠中のジェナ・コールマン、午後の外出中に黒いレースのミディドレスを着て開花した赤ちゃんの隆起を披露
- CNY JPY 予想・見通し・の予想
- エイリアン: ロムルスのポップコーン バケット: 購入場所と発売時期 (AMC、Cinemark、Regal)
2024-08-18 20:30