Giá thị trường

BTC Bitcoin
$64,437.4 +3.53%
ETH Ethereum
$1,876.14 +6.10%
SOL Solana
$76.99 +2.85%
BNB BNB Chain
$580 +2.49%
XRP XRP Ledger
$1.11 +4.61%
DOGE Dogecoin
$0.0741 +3.19%
ADA Cardano
$0.1632 +3.29%
AVAX Avalanche
$6.65 +2.91%
DOT Polkadot
$0.8452 +0.84%
LINK Chainlink
$8.3 +5.33%

Lịch sự kiện blockchain

{{年份}}
18
03
unlock Mở khóa token Sui

Phần đội ngũ và nhà đầu tư sớm được giải phóng

12
05
halving BCH Halving

Sự kiện giảm một nửa phần thưởng khối

30
04
upgrade Nâng cấp Celestia Mainnet

Cải thiện hiệu quả lấy mẫu tính khả dụng dữ liệu

08
04
upgrade Solana Firedancer

Trình xác thực độc lập ra mắt trên mainnet

15
04
halving Bitcoin Halving

Phần thưởng khối giảm xuống 3,125 BTC

10
05
upgrade Nâng cấp Ethereum Pectra

Tăng giới hạn validator và trừu tượng hóa tài khoản

28
03
unlock Mở khóa token Arbitrum

Giải phóng 92 triệu ARB

22
03
unlock Mở khóa Optimism

Lượng cung lưu hành tăng khoảng 2%

Theo dõi phí Gas

Ethereum 28 Gwei
BNB Chain 3 Gwei
Polygon 42 Gwei
Arbitrum 0.5 Gwei
Optimism 0.3 Gwei

💡 Smart Money

0x76db...6133
Nhà giao dịch on-chain dày dặn
+$4.1M
70%
0x9592...d2b7
Nhà tạo lập thị trường
+$4.2M
70%
0xd44a...fc46
Nhà tạo lập thị trường
+$4.9M
60%

Công cụ

Tất cả →

Vụ hack Ronin Bridge: Bài học về bảo mật đa chữ ký và sự chủ quan của Sky Mavis

Phan Hòa
Sản phẩm
Bạn nghĩ rằng multi-sig 5/9 là an toàn? Sai. Nó chỉ an toàn khi 9 chìa khóa nằm trong 9 túi khác nhau. Kẻ tấn công đã chứng minh điều đó vào tháng 3 năm 2022 khi rút sạch 173.600 ETH và 25,5 triệu USDC khỏi cầu nối Ronin. Tổng thiệt hại: 620 triệu USD. Không có lỗi smart contract. Đây là một vụ tấn công có chủ đích vào quy trình vận hành – thứ mà audit code không thể phát hiện. Hãy quay lại bối cảnh. Ronin là sidechain của Axie Infinity, game Play-to-Earn từng gây sốt. Để kết nối với Ethereum chính, Sky Mavis xây dựng cầu nối Ronin. Cơ chế bảo mật: 9 validator, cần 5/9 chữ ký để xác nhận giao dịch. Nghe có vẻ phi tập trung? Thực tế, Sky Mavis kiểm soát 4 validator, một công ty Axie DAO kiểm soát 1, và 4 validator còn lại thuộc về các bên thứ ba. Nhưng vấn đề không nằm ở số lượng. Điểm mù chết người: Sky Mavis vận hành một node RPC nội bộ (axie-infinity-validator) cho phép gửi giao dịch mà không cần xác thực đầy đủ. Kẻ tấn công đã chiếm được quyền kiểm soát validator của Sky Mavis thông qua một cuộc tấn công phishing vào ngày 23 tháng 11 năm 2021. Họ không vội vàng. Họ chờ đến ngày 23 tháng 3 năm 2022 để thực hiện cú đánh lớn. Tại sao? Vì họ biết rằng 4 validator của Sky Mavis + 1 validator của Axie DAO (cũng bị xâm nhập) chỉ cần thêm một chữ ký nữa là đủ 5. Và họ đã có được chữ ký đó từ một validator thứ ba thông qua backdoor mà giao thức để lại? Không. Họ đã giả mạo chữ ký vì hệ thống cho phép gửi giao dịch mà không cần kiểm tra địa chỉ đầy đủ? Sai. Sự thật là họ đã chiếm được 5 private key: 4 từ Sky Mavis và 1 từ Axie DAO. Làm thế nào? Thông qua token truy cập RPC bị rò rỉ. Tóm lại: 5/9 là quá đủ. Phân tích có hệ thống: Đây không phải lỗi kỹ thuật trong code cầu nối, mà là lỗi trong thiết kế quy trình và kiểm soát truy cập. Kẻ tấn công đã khai thác sự phụ thuộc của hệ thống vào một node RPC không được bảo vệ đúng cách. Họ không cần phải hack từng validator một; họ cần duy nhất một điểm entry: máy chủ RPC của Sky Mavis. Từ đó, họ có thể giả mạo các giao dịch và nhận được chữ ký từ các validator khác? Thực tế, họ đã có thể ký trực tiếp từ các validator bị chiếm. Đó là một vụ social engineering kết hợp với quản lý khóa yếu kém. Quan điểm phản trực giác: Phe bò có thể nói rằng multi-sig là giải pháp tốt nhất cho cầu nối, và vụ hack này chỉ là do Sky Mavis chủ quan. Tôi cho rằng multi-sig không phải là giải pháp, nó chỉ là một lớp bảo vệ khi được triển khai đúng cách. Sai lầm cốt lõi là Sky Mavis đã tập trung hóa quyền kiểm soát vào một tổ chức duy nhất, biến 4/9 thành 4/5 ảo. Nếu 4 validator đó thuộc cùng một thực thể, thì multi-sig 5/9 trở thành 2/6? Không. Thực tế, họ chỉ cần chiếm 2/3 số lượng cần thiết từ một nhóm. Bài học: không bao giờ để một thực thể duy nhất nắm giữ nhiều hơn một chìa khóa, và phải có sự phân tách địa lý, pháp lý và kỹ thuật giữa các validator. Kết luận: Vụ hack Ronin là lời cảnh tỉnh cho toàn bộ ngành cầu nối. Các dự án đang chạy đua TVL mà quên mất rằng an toàn vận hành quan trọng hơn code audit. Bạn có dám tin tưởng một cầu nối mà validator tập trung trong tay đội ngũ phát triển? Tôi thì không. Câu hỏi dành cho bạn: Lần cuối cùng bạn kiểm tra danh sách validator của cầu nối mình đang dùng là khi nào?

Vụ hack Ronin Bridge: Bài học về bảo mật đa chữ ký và sự chủ quan của Sky Mavis

Vụ hack Ronin Bridge: Bài học về bảo mật đa chữ ký và sự chủ quan của Sky Mavis

Sợ & Tham

22

Cực kỳ sợ hãi

Tâm lý thị trường

Chỉ số mùa altcoin

44

Mùa Bitcoin

Sự thống trị BTC Mùa altcoin

Vốn hóa thị trường

Tất cả →
1
Bitcoin
BTC
$64,437.4
1
Ethereum
ETH
$1,876.14
1
Solana
SOL
$76.99
1
BNB Chain
BNB
$580
1
XRP Ledger
XRP
$1.11
1
Dogecoin
DOGE
$0.0741
1
Cardano
ADA
$0.1632
1
Avalanche
AVAX
$6.65
1
Polkadot
DOT
$0.8452
1
Chainlink
LINK
$8.3

🐋 Theo dõi cá voi

🔴
0x10e0...d22c
6 giờ trước
Chuyển ra
1,792,526 USDT
🔴
0x266a...5674
5 phút trước
Chuyển ra
2,229,940 DOGE
🔵
0xf273...b2e3
1 giờ trước
Stake
1,252,722 USDT