Вчера в киберпространстве произошёл громкий инцидент безопасности на блокчейне Ronin Network. Белые хакеры воспользовались уязвимостью моста Ronin и вывели 4 000 ETH и 2 миллиона USDC, что эквивалентно 12 миллионам долларов. Эта сумма соответствует максимальной возможной для вывода в одной транзакции, что предотвратило потенциально более масштабную кражу.
Хакеры уведомили команду Ronin Network о найденной уязвимости непосредственно во время проведения своей атаки. Сразу после вывода средств, работа мост был приостановлена на 40 минут.
Хотя подробный разбор инцидента будет опубликован только на следующей неделе, уже сейчас Ronin может сказать, что причиной эксплойта стало недавнее обновление моста, развёрнутое через процесс управления, которое и внесло изъян в систему безопасности.
Ошибка привела к тому, что мост неверно истолковал требуемый порог голосов операторов, необходимый для авторизации вывода средств, что позволило неавторизованным субъектам совершать вредоносные действия.
Команда Ronin Network работает над устранением первопричины ошибки и планирует тщательную проверку исправлений перед их утверждением и внедрением. Мост останется приостановленным и пройдёт интенсивные проверки перед повторным запуском. Одновременно Ronin Network объявила, что текущая структура моста будет заменена на новое решение, разработанное совместно с валидаторами Ronin.
В то же время, белые хакеры полностью вернули украденные средства и теперь получат вознаграждение в размере $500 000 за свой принудительный аудит безопасности. Ранее платформа Ronin заявляла, что все пользовательские средства будут сохранены, а любые убытки полностью возмещены, даже если хакеры не вернут украденное.
Примечательно, что мост Ronin Network уже подвергался атаке в марте 2022 года. Тогда северокорейской группе Lazarus, которой по итогу и приписали криптограбёж, удалось похитить сумасшедшие 625 миллионов долларов, побив все рекорды по цифровым финансовым аферам.
Разумеется, Lazarus не возвращала украденные средства, так как они тут же пошли на финансирование ядерной программы КНДР. Тем не менее, правоохранительным органом удалось отследить и вернуть порядка $30 миллионов в сентябре 2022 года и ещё $5,8 миллиона в феврале 2023 года.