Azartinių lošimų blokų grandinė „Ronin Network“ vakar patyrė saugumo incidentą, kai baltųjų skrybėlių įsilaužėliai pasinaudojo dokumentais nepatvirtintu Ronino tilto pažeidžiamumu, kad atimtų 4000 ETH ir 2 mln. USDC, iš viso 12 mln.
Šis skaičius atitinka didžiausią ETH ir USDC kiekį, kurį galima išimti iš tilto per vieną operaciją, todėl ši svarbi saugumo priemonė užkirto kelią galimai astronominių figūrų vagystei.
Baltosios kepurės įsilaužėliai pranešė Ronino tinklui apie išnaudojimą ant tilto, kai jie demonstravo ataką. Po patikrinimo tiltas buvo sustabdytas 40 minučių.
Nors kitą savaitę bus išleistas išsamus pomirtinis tyrimas, Roninas gali pasakyti, kad išnaudojimo priežastis buvo neseniai per valdymo procesą įdiegtas tilto atnaujinimas, dėl kurio atsirado saugumo trūkumas.
Dėl šio trūkumo tiltas neteisingai suprato tilto operatorių balsavimo slenkstį, reikalingą leidimui išsiimti fondus, todėl neįgalioti asmenys galėjo atlikti žalingus veiksmus.
„Ronin Network“ komanda stengiasi išspręsti pagrindinę priežastį ir teigė, kad pataisymas bus kruopščiai patikrintas prieš balsuojant ir įdiegiant tilto operatorius, siekiant užtikrinti, kad panašūs incidentai nepasikartotų.
Tiltas bus pristabdytas ir bus intensyviai tikrinamas prieš vėl atidarant. Tuo pačiu metu „Ronin Network“ paskelbė, kad dabartinės struktūros bus atsisakyta naujam sprendimui, kuriamam naudojant „Ronin“ tikrintuvus.
Tuo tarpu baltakepuriai visiškai grąžino pavogtas lėšas ir gaus dosnią 500 000 USD premiją už savo „priverstinį auditą“.
Roninas anksčiau skelbė, kad net jei įsilaužėliai nereaguotų teigiamai ir pasiliks pavogtas sumas, visos naudotojų lėšos bus garantuotos, o patirti nuostoliai – visiškai atlyginti.
Neaišku, ar „tyrėjai“ pasinaudojo klaida prieš pranešdami Roninui apie gedimą, ar po to, ir ar jie reikalavo atlygio už klaidą, kad grąžintų pinigus. „BleepingComputer“ susisiekė su Ronin, bet mūsų el. laiškai lieka neatsakyti.
Ankstesni Ronino tilto pažeidimai
„Axie Infinity“ tinklo „Ronin“ tiltas anksčiau buvo nulaužtas 2022 m. kovo mėn., kaip dalis didžiausio šiuolaikinėje istorijoje kriptovaliutų vagystės, dėl kurios buvo prarasta 625 000 000 USD vertės kriptovaliuta.
Vėliau paaiškėjo, kad įsilaužimą atliko liūdnai pagarsėjęs Šiaurės Korėjos įsilaužėlis „Lazarus Group“, kuris naudojo savo tipišką netikrą darbo interviu socialinės inžinerijos schemą, kad gautų privilegijuotą pradinę prieigą prie tikslinių sistemų.
Tuo atveju įsilaužėliai negrąžino sumų, tačiau teisėsaugos institucijos 2022 m. rugsėjį atgavo 30 mln. USD, o 2023 m. vasarį – dar 5,8 mln.