Smiley face hacker

ギャンブル・ブロックチェーンのRonin Networkは昨日、ホワイトハット・ハッカーがRoninブリッジの文書化されていない脆弱性を悪用し、4,000ETHと200万USDC、合計1,200万ドルを引き出すというセキュリティ・インシデントに見舞われた。

この数字は1回の取引でブリッジから引き出せるETHとUSDCの最大額に相当するため、この重要なセキュリティ対策によって天文学的な数字の盗難を防ぐことができました。

ホワイトハットのハッカーは、攻撃のデモンストレーションを行う際に、ブリッジ上のエクスプロイトについてRonin Networkに通知した。検証後、ブリッジは40分間停止した。

詳細な事後報告は来週発表される予定だが、Roninが言えるのは、悪用の原因はガバナンス・プロセスを通じて導入された最近のブリッジ・アップデートで、セキュリティ上の欠陥が導入されたことである。

この欠陥により、ブリッジは、資金引き出しを承認するために必要なブリッジ・オペレーターの必要投票閾値を誤って解釈し、権限のないアクターが損害を与えるアクションを実行できるようになった。

Tweet

Ronin Networkのチームは根本的な原因の解決に取り組んでおり、同様のインシデントが再発しないよう、ブリッジ・オペレーターによる投票と展開の前に、修正プログラムは徹底的な監査を受けると述べた。

橋は一時停止したまま、再開前に集中的なチェックを受けることになる。同時に、Ronin Networkは、Roninバリデーターを用いて開発された新しいソリューションのために、現在の構造を放棄すると発表した。

一方、ホワイトハットは盗まれた資金を全額返却し、”強制監査 “のために50万ドルの懸賞金を受け取ることになった。

Roninは以前、ハッカーが積極的に対応せず、盗まれた金額を保持したとしても、すべてのユーザー資金は保証され、損失は全額弁済されると発表していた。

研究者」がバグを悪用したのが、Roninに欠陥を通知する前なのか後なのか、またお金を返すためにバグ報奨金を要求したのかは不明である。

Roninブリッジの過去の不具合

Axie InfinityのRoninネットワークブリッジは、2022年3月に現代史上最大の暗号強盗の一部としてハッキングされ、625,000,000ドル相当の暗号通貨が失われたことがある

後に、このハッキングは悪名高い北朝鮮のハッカー「ラザロ・グループ」によって行われたことが明らかになったが、彼らは典型的な偽の就職面接ソーシャル・エンジニアリングのスキームを使い、ターゲット・システムへの特権的な初期アクセスを獲得した。

この事件では、ハッカーから返還された金額はなかったが、法執行当局は2022年9月に3000万ドル、さらに2023年2月に580万ドルを回収した。