Ronin Network, một blockchain dành cho GameFi với hàng triệu người dùng hoạt động hàng ngày đã gặp phải một vấn đề bảo mật liên quan đến Ronin Bridge. Một vụ hack đã khiến Ronin mất khoảng 10 triệu USD ETH. Tuy nhiên, diễn biến sau đó đã cho thấy rằng hacker mũ trắng có thể đã gây ra vụ hack và đồng ý trả lại tiền. Tính đến thời điểm viết bài, hacker mũ trắng đã trả lại 3.991 ETH.
Hacker mũ trắng trả lại 10 triệu USD
Trước đó, theo thông báo từ PeckShield, một bot MEV vừa rút Ether (ETH) và USD Coin (USDC) trị giá hơn 10 triệu USD từ Ronin Bridge. Thông tin này suy đoán liệu các giao dịch được thực hiện bởi những kẻ khai thác hay từ hacker mũ trắng và cuối cùng đây là vụ tấn công đến từ hacker mũ trắng. Hacker mũ trắng là những hacker thường khai thác các lỗi trên hệ thống nhằm “chỉ ra” các lổ hổng tiềm ẩn, sau đó khắc phục sự cố và sau đó trả lại tiện từ vụ tấn cộng.
Ronin ngay lập tức đã tạm dừng Ronin Bridge để tiến hành điều tra cũng như đảm bảo hơn 850 triệu USD trên bridge đang an toàn.
Earlier today, we were notified by white-hats about a potential exploit on the Ronin bridge. After verifying the reports, the bridge was paused approximately 40 minutes after the first on-chain action was spotted.
The actors withdrew ~4K ETH and 2M USDC, valued at ~$12M, which…
— Ronin (@Ronin_Network) August 6, 2024
Lo ngại về bảo mật
Theo dữ liệu từ Etherscan, bot MEV đã rút hết tiền đã trả lại gần như tất cả 3.991 ETH cho đội ngũ Ronin, trong khi 5 ETH vẫn chưa được trả lại. Đội ngũ Ronin thông báo bot MEV đã được thưởng 500.000 USD vì đã phát hiện ra lỗ hổng.
Ronin giải thích thêm rằng việc nâng cấp cầu nối gần đây theo quy trình quản trị đã có một lỗ hỗng khiến cầu hiểu sai ngưỡng bỏ phiếu bắt buộc để rút tiền. Ronin hiện đang nghiên cứu một giải pháp cho vấn đề này, với kế hoạch nâng cấp cầu mới để thực hiện các cuộc kiểm tra chuyên sâu trước khi triển khai.
Lịch sử về Ronin với các lỗ hổng không phải là quá mới. Ronin Bridge từng bị tấn công và lấy đi hơn 600 triệu USD và đây là một trong những hack lớn nhất lịch sử crypto.
Riêng quý I đã báo cáo 542,7 triệu USD bị đánh cắp, tăng 42% so với cùng kỳ năm 2023. Tháng 7 vừa qua, hơn 266 triệu USD trong 16 sự cố bảo mật, bao gồm cả vụ tấn công 234 triệu USD từ WazirX.