梳理 Ronin 事件你所关心的被盗细节、项目恢复、资金去向等问题。

原文标题：《史上最大加密盗窃案？Ronin 跨链桥被盗 6.2 亿美元！》

撰文：William M. Peaster

著名的边玩边赚 (P2E) 游戏 Axie Infinity 背后的开发团队 Sky Mavis 遭遇了一次巨大的黑客攻击。该团队负责管理支撑 Ronin 跨链桥的基础设施，该跨链桥允许用户在以太坊和 Axie Infinity 的 Ronin 侧链之间来回发送加密货币。然而，上周该基础设施遭到黑客攻击，损失高达 6.25 亿美元，根据 Rekt 平台的排行榜，这是迄今为止最大的一次加密系统攻击事件，超过了 2021 年 8 月跨链互操作性项目 Poly Network 遭遇黑客攻击被盗的 6.1 亿美元。 

发生了什么

• Ronin 侧链目前由 9 个验证者节点保护，为了识别 Deposit (存款) 事件或 Withdraw (取款) 事件，需要这 9 个验证者中的 5 个进行签名。3 月 23 日星期三，攻击者成功地控制了其中的 5 个节点 (包括 Sky Mavis 自己运行的 4 个验证者节点以及 1 个由 Axie DAO 运行的验证者节点)，这 5 个验证者的私钥被盗。
• 然后，该攻击者使用这 5 个节点的签名从 Ronin 跨链桥取出 173,600 ETH 和 2550 万 USDC，按当前价格计算约合 6.25 亿美元。
• 快进到 3 月 29 日，一名用户无法通过 Ronin 桥取出自己的 5,000 ETH，这才使 Sky Mavis 团队意识到，这些资金已经在上周从该跨链桥被抽走。
• Sky Mavis 对此次攻击的回应是暂停了 Ronin 跨链桥和 Ronin 侧链上的 Katana 交易所。该团队还迁移了节点基础设施，并与执法部门、大型加密交易所和 Chainalysis 合作，以尽可能地包围该攻击者。该公司进一步表示，所有仍在 Ronin 链上的基金，无论是 Axi Infinity 的 AXS 和 SLP 代币，还是 Ronin 自己的 RON 治理代币，目前都是安全的。

更大的思路

• 与最近的一些跨链桥攻击相比，Ronin 跨链桥黑客攻击不是智能合约漏洞的结果。比如，在 2022 年 2 月，Solana 的 Wormhole 跨链桥因为智能合约漏洞而遭到了价值 3.25 亿美元的攻击；相反，正如 Optimism 软件工程师 Kelvin Fichter 所指出的那样，Ronin 跨链桥攻击是由多签漏洞造成的，攻击者使用「被盗的私钥」来签署交易，从而得以伪造交易来盗取资金。

• Ronin 侧链目前由 9 个验证者节点保护，为了保证链的安全，需要 5 个节点时刻保持诚实。此次桥攻击是灾难性的，因为该攻击者能够同时攻击 5 个节点，因此这 5 个节点的取款就变成了非法的「诚实」取款。
• 因此，如果有更多的节点分布在更多由社区运行或第三方的项目中，再加上有多个软件客户端，就可以防止此次黑客攻击。但说起来容易做起来难，事情发生后再看当时的情景容易作出正确的判断，但没有发生时就不容易。目前，Sky Mavis 已经将 Ronin 的验证者门槛从 5 个提高到 8 个，但可以肯定的是，他们会进一步去中心化，增加总验证者门槛。
• 展望未来，期待 Ronin 桥攻击事件将会在更广泛的加密经济领域引发更多围绕信任最小化或「无须信任」的跨链桥的关注和发展。

关于 Ronin 的恢复

• 「我们正在与 Axie Infinity / Sky Mavis 的利益相关者讨论如何最好地前行，并确保没有用户的资金损失，」该团队在此次 Ronin 桥攻击的声明中写道。「Sky Mavis 长期存在，并将继续建设。」
• 3 月 30 日在 NFT LA 大会的舞台上接受采访时，Axie Infinity 联合创始人 Jeff Zirlin 将此次攻击描述为「历史上最大的黑客攻击之一」。一些被盗取的资金已经从攻击者的钱包中转移到交易所，Zirlin 对此表示，攻击者「有可能被识别并被绳之以法。」
• Cinneamhain Ventures 的合伙人 Adam Cochran 认为，Sky Mavis 最终可能会出售股权，以弥补攻击造成的损失，尽管目前这只是猜测。

洗钱问题

• 通过仔细观察该攻击者的几个地址，我们可以发现绝大多数被盗资金仍然位于下图这个地址中：

• 然而，在追踪其他钱包的交易时，我们可以看到攻击者向 FTX 和 Crypto.com 等中心化交易所发送了一些批次的 ETH，以测试是否能够将被盗资产兑换成法币。
•  最近，以太坊生态系统中的大多数黑帽黑客将他们偷来的 ETH 通过隐私解决方案 Tornado Cash 来「洗白」资金。因此，似乎不寻常的是，此次 Ronin 桥的攻击者直接将部分资金发送到中心化加密货币交易所，而没有首先通过 Tornado 进行混币。作为回应，一些分析人士提出了一种可能性，即该攻击者可能购买了其他用户的交易所账户，以进行秘密提款。

• 不过，目前所有主要的加密货币交易所都在监控该攻击者的主要地址，并试图阻止这些地址的任何现金流出。这意味着该攻击者可能不得不调整方式，例如使用 Tornado 或尝试通过 NFT 买卖清洗这些被盗的 ETH。然而，试图在加密货币中清洗 6 亿美元是一项巨大的工程。

我的想法

• Ronin 桥的攻击是对 Axie 生态系统的一次重挫。然而，如果有任何团队和社区的组合能够从这次攻击中恢复过来，并因此变得更强大，那就是 Sky Mavis 和 Axie Infinity 社区。与此同时，我们中的许多人将密切关注这条链，看看攻击者接下来会对被盗的加密货币做什么.