ビルドに戻る:ロニンセキュリティ違反事後分析
3月23日、Sky MavisのRoninバリデーターノードとAxie DAOバリデーターノードが侵害され、Roninブリッジから173,600のEthereumと2,550万のUSDCが流出しました。事件の完全なタイムラインはここにあります。ハッカーが特定され、すべてのユーザー資金が復旧中です。ハッキングの詳細、実装されているセキュリティ対策、および重要な学習内容について、事後分析を共有したいと思います。
このセキュリティ違反は、外部からの脅威の影響を受けない企業はないことを再確認させてくれました。暗号通貨の盗難は急速に増加しており、この事後分析の目的は、業界全体をより安全に保つための小さな役割を果たすことです。この情報が、このような攻撃の標的となる可能性のある他の企業へのガイドとして役立つことを願っています。
タイムライン
このハッキングは2022年3月23日に発生し、3月29日にSky Mavisチームによって発見されました。ブリッジからの大量の流出を監視するための適切な追跡システムがなかったため、違反はすぐには発見されませんでした。新しいブリッジが展開されると、人間の介入なしにこのサイズでトランザクションを撤回することはできなくなります。攻撃者は、偽の引き出しを偽造するために、9つのバリデーター秘密鍵のうち5つ(4つのSky Mavisバリデーターと1つのAxie DAO)を制御することに成功しました。その結果、2つのトランザクション(1と2)で、173,600のイーサリアムと2,550万のUSDCがRoninブリッジから排出されました。
攻撃の詳細
Sky Mavisの従業員は、さまざまなソーシャルチャネルに対して常に高度なスピアフィッシング攻撃を受けており、1人の従業員が侵害されました。現在、この従業員はSky Mavisでは働いていません。攻撃者は、そのアクセスを利用してSky Mavis ITインフラストラクチャに侵入し、バリデーターノードにアクセスすることに成功しました。
当時、Sky Mavisは4/9のバリデーターを管理していましたが、これでは引き出しを偽造するのに十分ではありませんでした。バリデーターキースキームは、これと同様に攻撃ベクトルを制限するように分散化されるように設定されていますが、攻撃者はガスフリーRPCノードを介してバックドアを見つけ、Axie DAOバリデーターの署名を取得するために悪用しました。
これは、Sky Mavisが膨大なユーザー負荷のために無料のトランザクションを配布するためにAxie DAOに支援を要求した2021年11月にさかのぼります。 Axie DAOは、Sky Mavisに代わってさまざまなトランザクションに署名することを許可しました。これは2021年12月に中止されましたが、許可リストへのアクセスは取り消されませんでした。
攻撃者がSky Mavisシステムにアクセスできるようになると、ガスフリーのRPCを使用してAxie DAOバリデーターから署名を取得できるようになりました。
この脆弱性は、バリデーターノードを追加することで修正されました。ただし、これが二度と起こらないようにするために、包括的なセキュリティロードマップを導入しました。
セキュリティロードマップ
Sky Mavisは、現在および将来のセキュリティを強化するために、次の手順を実行しています。
一流のセキュリティ専門家と継続的に協力して、長引く脅威を回避します。
違反の直後、Sky MavisはCrowdStrikeとPolaris Infosecに内部監視とフォレンジックを処理するよう依頼しました。 Sky Mavisは、敵対的な攻撃者が私たちの防御の概要を把握できないようにするために、名前が挙げられない他の企業とも協力しています。
Roninネットワーク上のバリデーターノードの量を増やす
セキュリティ違反の時点で、Sky Mavisには9つのバリデーターノードがありました。これを11に増やし、まもなくさらに3つのバリデーターノードをオンボーディングします。今後3ヶ月で、私たちの目標は21のバリデーターノードであり、長期的な目標は100を超えることです。
より厳格な内部手順を実装する
内部手順を含め、セキュリティのあらゆる領域を検査しています。外部の脅威に対抗するためのより堅牢なトレーニングコースや、リスクをさらに軽減するための作業専用デバイスの使用など、すべての従業員のセキュリティに重点を置いています。
監査の実施
Roninは、セキュリティに関しては現在、ゴールドスタンダードです。すべてのコードは完全にレビューおよび最適化されており、セキュリティの専門家がアーキテクチャ全体を検討しています。
ゼロトラスト組織を作成する
私たちの目標は、完全に強靭でゼロトラストの組織になることです。ゼロトラストは、Sky Mavisが常に外部および内部の脅威のリスクにさらされていることを前提としたフレームワークです。ゼロトラストセキュリティモデルは、ユーザーがアプリケーションプログラミングインターフェイスを介してアプリケーションまたはソフトウェアからデータセットに接続する場合など、すべての接続を検証および承認します。これにより、相互作用がセキュリティポリシーの条件付き要件を確実に満たすようになります。
バグバウンティを起動
私たちは、コミュニティの安全を維持するためのセキュリティ研究者の取り組みの重要性と価値を認識しています。 Sky Mavisは、セキュリティの脆弱性の責任ある開示を促進するために、最大100万ドルの報奨金を提供しています。バグバウンティプログラムの詳細については、こちらをご覧ください。
ISO27001およびその他のセキュリティ関連の認証。
時間が経つにつれて、Sky Mavisはさまざまな認証プロセスを行います。
ハッカー
FBIが、北朝鮮を拠点とする高度なスキルを持つハッカー集団 Lazarus GroupがRonin Validator Security Breachに起因していることがわかりました。米国政府、特に財務省は、盗まれた資金を受け取ったアドレスを認可しました。 Lazarus Groupは、国家が後援するサイバー犯罪組織であり、非常に機知に富み、洗練されており、多くの注目を集めるハッキングに関係しています。
私たちは、ハッカーの特定を支援するために関与したすべての法執行官に非常に感謝しています。現在の焦点は、最強のセキュリティ対策を実施することにより、これが二度と起こらないようにすることです。
ロニンブリッジの再開
Ronin Networkブリッジは現在再設計中であり、今後長期に渡った安全性の確信ができ次第再開します。当初は4月末までにアップグレードを展開できると予想していましたが、これは急ぐ余裕のあるプロセスではありません。ブリッジは何十億ドルもの資産を確保するので、正しく再開する必要があります。すべてが計画通りに進んだ場合、ブリッジは5月中旬から下旬に再開します。その間、Binanceは、Axie InfinityユーザーのwETHとUSDCの両方の引き出しとデポジットについてRonin Networkをサポートしています。
ブリッジ内のすべてのユーザー資金は、最近のSky Mavis資金調達ラウンド、Axie InfinityおよびSky Mavisバランスシート資産、およびコアチームからの個人資金によって保証されていますのでご安心ください。
ブリッジを再開するには、次のことを行う必要があります:
Roninブリッジコントラクトをアップグレード。これは80%完了しました。
ブリッジのバックエンドを再構築:これは現在進行中です
大規模なトランザクションの承認と新しいバリデーターの追加/削除を可能にするバリデーターダッシュボードのデプロイ。これは現在設計中です。
保留中のすべての引き出しを移行する:これは、新しいブリッジの展開後に発生します
結論
私たちは、この未知の領域をナビゲートし、私たちがこれまで以上に強くなることを確実にするために、助けてくれたコミュニティ、素晴らしい理事会メンバー、そして法執行官に感謝しています。皆様は、私たちの力とインスピレーションの源でした。より良い分散型の世界を一緒に構築しながら、ゲーマーにWeb3テクノロジーを学ぶように勧める、コミュニティ主導のデジタル国家を構築するという私たちの取り組みは揺らいでいません。ビルドに戻る準備ができました。