Ronin失窃6亿美元，敲响加密资产安全警钟，每个重要新经济的诞生都伴随着重大的新骗局

3月30日，支撑知名链游Axie Infinity的底层区块链网络Ronin Network通报了一起攻击事件，黑客利用网络漏洞盗窃了173600 ETH和2550万 USDC，总价值为6.15亿美元，其他链上资产诸如AXS、RON和SLP未受影响。

通报发出后外界才得知，黑客早在3月23日就动手了，直到3月29日有用户报告无法从跨链桥Ronin Bridge提款后，盗窃案才被发现。

根据Ronin Network（以下简称Ronin）公告，黑客利用网络漏洞获得了5个验证节点的签名权限，从而恶意签署了提款。这5个验证节点中，有4个掌握在Axie Infinity的开发商Sky Mavis手中，还有一个属于该游戏的去中心化自治组织Axie DAO。

根据安全机构的追踪，黑客获利地址已将2550万的USDC为ETH，有6250 ETH已被分散转移，其中4971 ETH被转入了几个中心化交易平台。为了防范再被攻击，Ronin暂停了它的跨链桥Ronin Bridge和该链上的去中心化交易应用Katana Dex，并开始与执法部门、安全机构和资方合作，以确保资金能被追回。由于此次攻击发生Ronin Bridge上，跨链桥的资产安全问题再次引发关注，业内也发出预警，这种连接着各种区块链网络的加密资产转移工具，一旦被攻击，很可能会大范围地威胁到链上DApp的安全。有安全机构已经开始提醒跨链桥开发者重审桥的代码安全，升级私钥管理。

 Axie Infinity与Ronin

Axie Infinity

Axie Infinity是在以太坊上的热门游戏，游戏所描绘的是一种数字化宇宙，该宇宙拥有14万Axies（可以理解为数字宠物），每个Axi都有独特的特征，这些特征决定Axi在战场上的行为。Axies和Land plots（土地地块）是由NFT构成，用户在Axie Marketplace或Uniswap上可以使用代币、游戏资产和原生代币来进行交易。

Axie Infinity的火爆绝对是区块链游戏和NFT的出圈代表作。这是一款收入能够单日收入超过王者荣耀三倍的链游，牢牢地坐上了“链游之王”的宝座。毋庸置疑，Axie Infinity 作为数字资产里链游赛道的宠儿，在去年一举跃居市场头部，成为“游戏获利”模式里的龙头。

Ronin Network

追溯Axie Infinity的发展历史，早前是在Loom Network这个以太坊侧链上的一个DApp，由于该侧链进展问题，又迫于游戏迅速发展情况下的迫切需求才自行开发的Ronin侧链，或许就在这个时候埋下的“隐患”。

在所有智能合约公链中，以太坊最安全一直是一个共识。包括Axie Infinity的Ronin的POS侧链在内的许多“高速链”发布的理由都是为解决以太坊的“高费低速”问题，但大部分“高速链”为了性能的提升或多或少都在安全性上做出了一定程度的妥协。

这也侧面解释了一直以来，有一些人很不解以太坊又慢、手续费又贵，为什么主流的NFT都要发布在以太坊上？现在答案来了，那就是以太坊更安全，并且的同时生态更庞大，开发者和用户数都最多。之前不少团队在高速链上发布了GameFi，又总是都要跨链到以太坊上来的原因就在这里，记得有一个项目方曾经这样说：“资金大的用户，很多都只在以太坊上，只购买以太坊上的NFT。”

谨防加密骗局

Ronin Network遭受攻击的事情也再次说明，对于区块链和加密项目来说，安全始终应该是第一位的，包括我们平时在进行加密资产、NFT投资时，也应该谨防各种隐秘骗局，下面我们来看看NFT领域最常见的几种骗局。

交易诈骗

虚假交易链接

利用虚假链接行骗成本最低、相对容易，诈骗者利用了这一点。在处理诸如NFTTrader或SudoSwap等 p2p 交易平台时，这类骗局非常常见，也是目前受害者最多的一类骗局。由于是p2p交易平台，所以通常需要买卖双方私下联系，在买卖谈判完成后，诈骗者会发送一个虚假链接。通常，该链接涉及拼写错误，但很难被察觉。当受害者点击链接时，会来到一个看起来完全真实的虚假网站。该网站提示用户签署恶意交易，将 NFT 转移给诈骗者。

提示：切勿点击私信中的任何交易链接。且NFTTrader、SudoSwap此类平台已不再使用链接。你只需登录并查看待处理交易。

场外交易

这是一个简单的骗局。通常发生在同一个群聊、同一个社区之间的“币友”之间，在与受害者建立信任后，骗子提出场外交易“兄弟，咱们谁跟谁，场外交易省手续费，你给我 NFT，我转给你ETH ”来完成交易，其中骗子可能使用假的截图或小量gas来假装他正在发送Eth，欺骗你发送NFT。如果进行 NFT 交换，诈骗者可能会试图要求受害者以 0.01 ETH 的价格在 OpenSea 的私人销售中列出 NFT，并且他们会以相似的价格列出他们的 NFT 供受害者购买。

提示：切勿轻信各类群聊、社区的网友，仅使用安全平台进行交易。切勿将你的NFT发送给其他人。

交易被盗资产

这可能不是骗局，但绝对是交易时需要注意的事情。如果资产被盗，受害者有权在OpenSea中举报该NFT，他们通常会冻结资产，从而无法在该平台上进行交易。持有这些冻结 NFT 的诈骗者不得不将它们挂单至其他平台，例如 Looksrare、NFTTrader、SudoSwap 或 Rarible，从而使受害者拥有无法在 OpenSea 交易的资产。

提示：购买前务必检查 OpenSea 中的 NFT，确认该资产是否为被盗资产。如果你是 NFT 领域的新手或者不习惯使用 p2p 平台，请坚持使用OpenSea或Looksrare。

网络钓鱼和其他诈骗

代币空投诈骗

大多NFT玩家可能或多或少都收到过 ERC-20 或 ERC-721 代币作为空投。其中许多空投都是网络钓鱼的诱饵。受害者通常会收到 NFT 并开始查看它是什么。诈骗者利用这些空投，让受害者与钓鱼资产产生交互、授权，或加入钓鱼网站、Discord等。从而进一步进行欺骗。

提示：切勿与空投代币或 NFT 交互，除非是可知项目的空投（如BAYC空投MAYC）。

冒充官方Discord 服务器

在这个骗局中，诈骗者向受害者发送邀请，邀请他们加入热门项目的Discord群组，如 BAYC、Zombieclub等。但实际是他们冒充的充满机器人和受害者的虚假Discord。受害者被带到一个频道，要求他们通过输入 !join 或其他验证功能进行验证。然后，受害者通过一个虚假的 bot 帐户收到一个私信，并被定向到一个带有虚假 Metamask d出窗口的网站，要求提供受害者的助记词。此外，您也应该警惕各种假冒官方的钓鱼诈骗。

提示：仅加入在官方网站或 Twitter 帐户上展示的项目discord，进入discord后关闭私信功能，大多数服务器不再有通过私信进行验证。

搜索引擎假网站

诈骗者利用百度、谷歌广告创建虚假的 OpenSea、looksrare 网站。受害者进入后掉入陷阱。

提示：收藏重要网站或官方社交网站公布的网址访问，尽量不要用搜索引擎搜索。

被黑的Discord公告

discord 管理员的登录信息可能会被黑客攻陷，黑客可能会接管 discord 服务器。始终警惕 Discord 中机器人发布的公告。已经发生过多起通过黑掉discord服务器并宣布虚假mint网址的案例。受害者要么铸造假 NFT，要么签署授权将 ETH 转移给黑客。

提示：随时了解社区中的相关事件，不要相信发布公告的机器人。

社交媒体诈骗

NFT仍然是一个相对较小的社区，我们在其中相互了解，并且在某种程度上相互信任。我们应该警惕冒名顶替者和被黑的账户。确保你的社交媒体帐户安全是避免被钓鱼或黑客攻击的必要条件。

提示：始终在您的社交媒体帐户上使用 2 步身份验证（短信验证或谷歌验证器等）。虽然它不是一个完美的解决方案，但它减少了您的凭据被黑客入侵的机会。

小心你的钱包

钱包是平时进行NFT交易必备的一款工具，保护你的钱包安全也是保持你的加密货币和NFT安全最重要的方式。

永远不要输入你的助记词

这一点强调都不为过，永远不应该在网上留下你的助记词的痕迹，如果有人得到这些词，他们将永远完全控制你的钱包。任何网站都不应该询问您的助记词或者你自己主动输入助记词。

使用硬件钱包

硬件钱包可以将密钥存储在你常用的电脑设备之外。因为您的电脑设备可能有恶意软件、键盘记录器、屏幕捕获软件、文件检查器等，它们也可能在窥探您的密钥。

检查网址

大多数诈骗网站都试图让你做以下两件事之一：1）输入您的助记词或 2）签署恶意交易授权。检查你的 URL 和 URL 的来源。如果你单击链接，请保持警惕。

注意是否是真假软加密钱包

创建一个看起来像 MetaMask 的浏览器假冒d出窗口很容易。你需要注意的关键点是 MetaMask 永远不会在你没主动点击or要求的情况下，询问你的钱包助记词。这也是为什么你应该使用硬件钱包的原因。

注意你的签名

由于着急（抢NFT公售或其他），大多数人为了快速交易，经常盲目地签署交易签名。而诈骗者或钓鱼网站就在等着你这么做。仔细查看你登录的网站以及交易时正在签署的内容和查看你正在与哪些合同进行交互。如果您的交易TX要求您签署类似“0x6fe64a.....87”之类的消息，那么你正在签署可能是恶意的交易，请检查验证源网站并且确认签署的是你想要签署授权的内容。