Ronin遭入侵 损失近6亿美元数字货币

最近，Axie Infinity 侧链 Ronin宣称，他们的验证者节点遭入侵，有黑客窃取了17.3万枚以太坊（ETH）和2550万USDC，总价值约达6.2 亿美元。

Axie Infinity 是目前最成功的区块链游戏之一。其中的Axie是一种NFT 数字宠物的名称，玩家利用这种宠物参与游戏社区的互动。游戏玩家可以使用他们的 Axies 与其他玩家战斗，或是通过开发者的基因算法培育出新的 Axies后代。这些Axies既可以用于战斗，也可以用于出售。不少玩家通过培育Axies获得加密货币收益。2021年，该游戏的创作者筹集了 1.52 亿美元的 B 轮融资，由著名的风险投资基金 Andreessen Horowitz 领投。

Axie Infinity的成功带动了Ronin。Ronin是基于 Axie Infinity（一款基于区块链的战斗养成游戏）社区创建的以太坊侧链。侧链是与以太坊兼容的独立区块链，与以太坊主网并行运行，可以更有效地处理交易。

Ronin 目前采用权威证明 (PoA) 共识模型，这是一种基于信誉的系统，其验证者数量有限且相对集中。验证者“赌注”他们的声誉而不是数字货币，如果验证者发生不良行为者或对网络产生负面影响，验证者可能会失去声誉。

根据周二（3月29日）在Substack网站上名为“Ronin’s Newsltter”的一篇博客，该Ronin的系统遭到黑客袭击，已经不再允许游戏玩家在 Axie Infinity 宇宙中转换资产，以及在以太坊和 Ronin 区块链之间进行换币活动。在 Ronin 网络上保留数字资金的玩家目前无法进行交易。

Ronin的博客称，在3月23日，他们发现了Sky Mavis 的 Ronin 验证器节点和 Axie DAO 验证器节点遭到破坏。

在这次事件中，入侵的黑客使用被黑的私钥，伪造来自 Ronin跨链桥(Ronin Bridge)的两笔交易的虚假提款。到了3月29日，有顾客投诉无法从Ronin中提取以太坊，有用户称，他们尝试提取 5,000 以太币，但是操作失败了。

Ronin跨链桥是帮助用户从钱包中转入Ronin用来购买商品的工具。具体来说，用户可以选择“Deposit with Ronin Bridge”，之后Ronin跨链桥就会打开，并连接到用户的以太坊钱包。

在用户选择Deposit之后，就可以看到能从以太坊转币到Ronin 区块链的选项。在这里就可以可选择将“以太坊中的ETH”转移到Ronin的钱包中。

根据Ronin的说法，虽然 Ronin 侧链有 9 个验证器，需要 5 个签名才能提款，但黑客通过Ronin的无气体 RPC 节点（gas-free RPC）找到了一个后门，并滥用该节点来获取 Axie DAO 验证器的签名。

Ronin表示，这一漏洞源于2021 年 11 月，当时Sky Mavis正在分发免费交易，因为用户负载巨大，所以它请求 Axie DAO 的帮助，Axie DAO 允许 Sky Mavis 代表其签署各种交易。这项合作已于 2021 年 12 月停止，但Axie DAO未撤销许可名单访问权限。

所以一旦攻击者获得了 Sky Mavis 系统的访问权限，他们就能够通过使用无气体 RPC 从 Axie DAO 验证器获取签名。

根据Ronin’s Newsletter的公告，目前，用户暂时无法向 Ronin Network 提款或存入资金。

Ronin称，未来它们会把验证门槛从 5 个签名增加到 8 个，并且正在迁移他们的节点，以便与旧的基础设施完全分离。目前，Ronin跨链和 Katana Dex都已经暂停运行，Binance也禁用了他们与 Ronin 之间的桥梁，Ronin 上的所有 AXS、RON 和 SLP（Axie系列的其他三种代币）现在都是安全的。

根据上述博客文章，大部分被黑客盗取的数字货币仍然在黑客钱包中。Ronin正与政府调查机构联手追击黑客，力图绳之以法。