首頁 > 網路3.0 > Verichains 報告揭示了 Ronin 鏈攻擊細節,強調了關鍵合約漏洞

Verichains 報告揭示了 Ronin 鏈攻擊細節,強調了關鍵合約漏洞

WBOY
發布: 2024-08-19 06:26:29
原創
581 人瀏覽過

區塊鏈網路安全公司Verichains披露了8月6日Ronin鏈攻擊的詳細信息,造成約1000萬美元的損失。

Verichains 報告揭示了 Ronin 鏈攻擊細節,強調了關鍵合約漏洞

區塊鏈網路安全公司 Verichains 提供了有關最近 Ronin 鏈攻擊的更多詳細信息,該攻擊導致近 1000 萬美元被盜。

這次攻擊最終是良性的,因為資金被白帽駭客退回,據報道是由 MEV(最大可提取價值)機器人執行的,凸顯了鏈架構中的一個令人擔憂的漏洞。

根據 Verichains 的報告,Ronin 橋合約的更新引入了一個漏洞,該漏洞被機器人利用來提取資金。這座橋將以太坊連接到 Ronin 區塊鏈,這是一個與遊戲相關的網絡,託管 Axie Infinity 等熱門遊戲。

報告強調,合約更新忽略了一項關鍵功能,最終允許任何人在未經任何驗證的情況下從橋中提取資金。

通常情況下,每筆交易都由網路參與者驗證並透過共識進行處理,這是由minimumVoteWeight變數啟用的。該變數又依賴作為輸入的totalWeight變數。

然而,在更新過程中,totalWeight 的值被設定為零,而不是先前合約中設定的值。因此,用戶無需簽名即可提取資金,因為更新後的合約允許他們這樣做。

在8 月7 日的X 帖子中,Composable Security 的審計員Damian Rusniek 指出,「簽名者是0x27120393D5e50bf6f661Fd269CDDF3fb9e7B849f,但該地址不在網橋是任何有效的簽名。

Rusniek 的發現最終與 Verichains 的結果一致,得出的結論是「根本原因是運營商的最低投票數為 0。任何人都有 0!」

Ronin 向白帽駭客提供 50 萬美元的被利用資金

MEV 機器人透過模擬發現了這一點並提交了交易,從而導致了 1000 萬美元的漏洞。白帽駭客返還這些資金,確保 Ronin 開發人員在壞人接手之前發現問題。

網路最終允許個人保留 50 萬美元的開發價值作為錯誤賞金獎勵。

以上是Verichains 報告揭示了 Ronin 鏈攻擊細節,強調了關鍵合約漏洞的詳細內容。更多資訊請關注PHP中文網其他相關文章!

來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板