Esse valor corresponde à quantidade máxima de ETH e USDC que pode ser retirada da ponte por meio de uma única transação, portanto, essa medida crítica de segurança evitou o roubo de valores potencialmente astronômicos.
Os hackers white-hat informaram a Ronin Network sobre uma exploração na ponte enquanto realizavam sua demonstração de ataque. Após a verificação, a ponte foi pausada por 40 minutos.
Embora um post-mortem detalhado seja divulgado na próxima semana, Ronin pode dizer que a causa da exploração foi uma atualização recente da ponte implantada por meio do processo de governança, que introduziu uma falha de segurança.
A falha fez com que a ponte interpretasse incorretamente o limite de votos necessário dos operadores da ponte para autorizar retiradas de fundos, permitindo que agentes não autorizados realizassem ações prejudiciais.
A equipe da Ronin Network está trabalhando para resolver a causa raiz e disse que a correção passará por auditorias completas antes de ser votada e implantada pelos operadores da ponte para garantir que incidentes semelhantes não ocorram novamente.
A ponte permanecerá pausada e passará por verificações intensivas antes de reabrir. Ao mesmo tempo, a Ronin Network anunciou que a estrutura atual será abandonada para uma nova solução desenvolvida com validadores Ronin.
Enquanto isso, os white hats devolveram integralmente os fundos roubados e receberão uma generosa recompensa de US$ 500.000 por sua “auditoria forçada”.
Ronin havia anunciado anteriormente que, mesmo que os hackers não respondessem positivamente e ficassem com os valores roubados, todos os fundos dos usuários seriam garantidos e quaisquer perdas seriam totalmente reembolsadas.
Não está claro se os “pesquisadores” exploraram o bug antes ou depois de notificar Ronin sobre a falha e se eles exigiram uma recompensa por bug bounty para devolver o dinheiro. O BleepingComputer contatou Ronin, mas nossos e-mails continuam sem resposta.
A ponte de rede Ronin do Axie Infinity foi hackeada anteriormente em março de 2022 como parte do maior roubo de criptomoedas da história moderna, resultando na perda de US$ 625.000.000 em criptomoedas.
Mais tarde, foi revelado que o hack foi realizado pelo famoso hacker norte-coreano ‘ Lazarus Group ‘, que usou seu típico esquema de engenharia social de entrevistas de emprego falsas para obter acesso inicial privilegiado aos sistemas alvo.
Nesse caso, nenhum valor foi devolvido pelos hackers, mas as autoridades policiais recuperaram US$ 30 milhões em setembro de 2022 e outros US$ 5,8 milhões em fevereiro de 2023.
Um novo e inteligente golpe do ClickFix está usando um instalador falso do AnyDesk e…
Pesquisadores descobriram que agentes de ameaças exploram o Grok, IA integrada ao X (antigo Twitter),…
As explorações permitem backdooring persistente quando os alvos abrem arquivos armadilhados.
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…