3 月 29 日，Axie Infinity 侧链 Ronin 发文表示验证者节点遭入侵，17.36 万枚 ETH 和 2550 万 USDC 被盗，总金额约合 6.15 亿美元。目前 Ronin 桥和 Katana Dex 已暂停运行。

截至目前，Ronin 上的 ETH 和 USDC 存款已从桥接合约中耗尽。但 Ronin 上的所有 AXS、RON 和 SLP 目前都是安全的。用户无法向 Ronin Network 提款或存入资金。Sky Mavis 致力于确保收回或偿还所有耗尽的资金。

关键点：

• Ronin桥已经被盗，黑客获得了173,600个以太坊和2550万USDC。

• Ronin桥和Katana Dex已被停止。

• 我们正在与执法官员、密码学家和我们的投资者合作，以确保所有资金被收回或偿还。Ronin上所有的AXS、RON和SLP现在都很安全。

Ronin网络上出现了安全漏洞。今天早些时候，我们发现在3月23日，Sky Mavis的Ronin验证器节点和Axie DAO验证器节点被破坏，导致173,600以太坊和2550万USDC在两笔交易（1和2）中从Ronin桥上流失。攻击者使用黑客的私钥，以伪造虚假的提款。今天早上，我们发现了这次攻击，因为有用户报告说无法从桥上提取5k ETH。

关于攻击的细节

Sky Mavis的Ronin链目前由9个验证器节点组成。如果需要存入资金或提取资金，需要9个验证器中的5个签名。攻击者设法控制了Sky Mavis的四个Ronin验证器和一个由Axie DAO运行的第三方验证器。

验证器的密钥方案被设置为去中心化，因此它限制了一个攻击矢量，与此类似，但攻击者通过我们的RPC节点找到了一个后门，他们用这个后门来获得Axie DAO验证器的签名。

这可以追溯到2021年11月，由于巨大的用户负载，Sky Mavis请求Axie DAO帮助分发免费交易。Axie DAO允许列出Sky Mavis代表其签署各种交易。在2021年12月停止了该活动，但允许列表的访问权并没有被撤销。

一旦攻击者进入Sky Mavis系统，他们就能通过使用gas-free RPC从Axie DAO验证器获得签名。

我们已经确认，恶意提款中的签名与五个可疑验证器相匹配。

所采取的行动

事件发生后，我们迅速采取了应对措施，并积极采取措施防范未来的攻击。为了防止进一步的短期损害，我们已经将验证人的门槛从5个提高到8个。

我们正在与主要交易所的安全团队联系，并将在未来几天内与所有交易所联系。

我们正在迁移我们的节点，这与我们的旧基础设施完全分离。

我们已经暂时暂停了Ronin桥，以确保没有进一步的攻击载体保持开放。为了谨慎起见，Binance也禁用了他们与Ronin的桥接。一旦我们确定没有资金被抽走，该桥将在稍后的日期开放。

由于无法套利和向Ronin网络存入更多资金，我们已经暂时禁用Katana DEX。

我们正在与Chainalysis合作，监测被盗资金。

接下来的步骤

我们正在与各政府机构直接合作，以确保将犯罪分子绳之以法。

我们正在与Axie Infinity/Sky Mavis的利益相关者讨论如何最好地推进工作，确保没有用户的资金损失。

Sky Mavis是长期存在的，并将继续建设。

媒体和社区的问答

为什么验证人的门槛只有5个？

最初，Sky Mavis选择了9个门槛中的5个，因为有些节点没有上链，或者卡在同步状态。今后，门槛将是九分之八。我们将随着时间的推移，在加速的时间表上扩大验证器。

这些资金现在在哪里？

大部分被黑的资金仍在黑客的钱包里：https://etherscan.io/address/0x098b716b8aaf21512996dc57eb0615e2383e2f96

这是怎么发生的？

我们正在进行彻底的调查。

五个验证人的私钥被黑了；4个Sky Mavis验证人和1个Axie DAO。

验证器密钥计划的设置是去中心化的，所以它限制了像这样的攻击媒介，但攻击者通过我们的gas-free RPC节点找到了一个后门，他们用了这个后门来获取Axie DAO验证器的签名。

这可以追溯到2021年11月，当时Axie DAO验证器被允许列入分发免费交易。这在2021年12月停止了，但Axie DAO验证器的IP仍在允许名单上。

一旦攻击者进入Sky Mavis系统，他们就能通过使用无气体RPC从Axie DAO验证器获得签名。

我们已经确认，恶意提款中的签名与五个可疑验证器相吻合。

我使用Ronin是否安全？

正如我们所看到的，Ronin不能免于被利用，这次攻击加强了优先考虑安全问题的重要性，保持警惕，并减轻所有威胁。我们知道需要赢得信任，并正在利用我们所掌握的一切资源，部署最先进的安全措施和程序，以防止未来的攻击。

为什么现在才通知我们有漏洞？

Sky Mavis团队在3月29日发现了这个安全漏洞，此前有报告称有用户无法从桥上提取5k ETH。

Ronin上的资金有风险吗？

Ronin上的ETH和USDC存款已经从桥接合约中被抽走。我们正在与执法官员、法医密码学家和我们的投资者合作，以确保用户资金没有损失。这是我们现在的首要任务。

Ronin上所有的AXS、RON和SLP现在都很安全。

这对在Ronin网络上有资金的用户意味着什么？

截至目前，用户无法提取或存入资金到Ronin网络。Sky Mavis致力于确保所有被抽走的资金被追回或偿还。

Go Pocket 安全钱包负责人Mike分析了这次事件：

1. 如果被盗资金转到交易所，下一步的计划是？

Mike:可以通过交易所冻结资金，然后通过kyc查证实名

但这次如果是外部攻击，攻击流程相对复杂，不像是外行，是否真的能查到有效kyc，我觉得可能不太容易。

2.混币器能否掩盖踪迹？

Mike:最开始的数字资产怎么来的，通过那条otc通道进来的，中间跟谁交易了，混币器的交易量其实没那么大，一段时间内进出的金额是有限的，直接做交易比对，加一些其他的技术手段，是可以确定资金流向。

同时这类攻击，更多的会从攻击者物理特征去找，ip，设备号。

3.黑客作恶，最后不管怎样都能追根溯源？

Mike:是的，复杂的攻击方式只不过是更难定位到技术特征，比如多层的跳板机，这些都是web2的攻击方式，但技术上都可以解决，成本高低的问题，难的是国家边界和服务边界。

多链攻击之后会越来越多，跨链桥还有很多问题没被爆出来，去中心化代码管理会是大问题，代码量越来越大，项目方也不知道那些代码跟权限相关，局部代码改动，可能都会对权限有影响。