انتقال 5055 اتریوم توسط هکر رونین

طبق داده های بلاک چین، آدرس های مرتبط با هک 625 میلیون دلاری شبکه رونین 10 میلیون دلار اتریوم را در ساعات ابتدایی روز چهارشنبه به وقت آسیا انتقال داده اند.

داده های بلاک چین نشان می دهند که هکر 5055 اتریوم را به یک آدرس ارسال کرده است. این وجوه از کیف پول دیگری ارسال شده که مستقیما توسط آدرس اصلی هکر تامین مالی شده است.

از ساعات ابتدایی روز چهارشنبه، این آدرس اتریوم ها را در تراکنش های 100 تایی به پروتکل تورنادو کش (Tornado Cash) ارسال کرد. داده ها نشان می دهند که بیش از 55 تراکنش انجام شده است.

این کیف پول در حال حاضر فقط 3.4 اتریوم دارد و بیشتر وجوه آن به تورنادو کش منتقل و فروخته شده اند. پروتکل تورنادو با از بین بردن پیوند بین آدرس مبدا و مقصد، حریم خصوصی تراکنش ها را افزایش می دهد. این قابلیت به هکرها امکان می دهد تا آدرس های خود را پنهان کنند و در عین حال وجوه هک شده را برداشت کنند.

در اوایل آوریل نیز هکرها 21000 اتریوم را طی چندین تراکنش به تورنادو کش منتقل کردند و فشار فروش زیادی در بازار به وجود آوردند. این مقدار اتریوم در آن زمان بیش از 65 میلیون دلار ارزش داشت.

هک شبکه رونین در ماه مارس

شبکه رونین در ماه مارس هک شد و هکر 173600 اتریوم را به ارزش 625 میلیون دلار( قیمت آن زمان) به کیف پول خود انتقال داد. هکر از کلیدهای خصوصی هک شده برای برداشت ها استفاده کرده و تنها در دو تراکنش این ارزها را از پل رونین به سرقت برده است. مهم تر از همه، این هک در تاریخ 23 مارس رخ داده، اما در 29 مارس و پس از این که یک کاربر نتوانست 5000 اتریوم را از پل رونین برداشت کند، افشا شد.

زنجیره رونین Sky Mavis از 9 نود اعتبارسنج تشکیل شده که برای تایید برداشت یا واریز، به امضای 5 نود نیاز است. مهاجم موفق به کنترل پنج کلید خصوصی شد که شامل چهار اعتبار سنج رونین در Sky Mavis و یک اعتبار سنج شخص ثالث (که توسط سازمان غیرمتمرکز مستقل اکسی (Axie DAO) اجرا می شد) بود. دسترسی غیرمجاز به دومی زمان بر بود.

هنگامی که هکر به سیستم های Sky Mavis دسترسی پیدا کرد، آخرین امضای مورد نیاز برای تایید برداشت وجوه را از نود اعتبار سنج اکسی دائو به دست آورد و بدین ترتیب موفق به سرقت وجوه شد.

مقامات آمریکایی با ربط دادن آدرس هکر به گروه “لازاروس” کره شمالی ادعا کردند که این کشور در سرقت وجوه رونین دست داشته است. طبق گزارشها، کوین دسک نیز به طور مستقل ارتباط آدرس هکر با آدرس های تحریم شده را تایید کرد.