BNB Chian是如何被攻击的?黑客盗取金额具体有多少?黑客为何又是选取跨链桥攻击?币安链本身安全吗?怎么看黑客攻击后币安链被暂停?被盗资产结局会如何?对社区有何新启示?
上述问题用户迫切想知道答案,金色财经就此采访了Beosin安全研究专家。
Q1:10月7日BNB Chian跨链桥BSC Token Hub遭遇攻击。黑客利用跨链桥漏洞分两次共获取200万枚BNB。请向我们详细讲解一下这次黑客是如何攻击的?
Beosin:1)攻击者先选取一个提交成功的区块的哈希值(指定块:110217401)
2)然后构造一个攻击载荷,作为验证IAVL树上的叶子节点
3)在IAVL树上添加一个任意的新叶子节点
4)同时,添加一个空白内部节点以满足实现证明
金色晚报 | 7月7日晚间重要动态一览:12:00-21:00关键词:牙买加央行、西班牙国会、香港金管局、星展银行
1.牙买加央行将于8月推出CBDC试点项目;
2.西班牙国会通过反欺诈法:用户必须披露西班牙境内外的加密资产;
3.香港金管局总裁:四地跨境CBDC项目有望年底开始测试;
4.新西兰央行:探索CBDC与现金共存的潜力及加密货币带来的挑战;
5.俄罗斯正制定新法律允许政府没收加密货币;
6.伊朗由于加密货币采矿和炎热夏季暂停电力出口;
7.星展银行推出亚洲首个数字化债券自动发行平台;
8.Visa加密卡在今年上半年的消费额已达10亿美元;
9.美国十年期国债收益率跌至1.315%,为2月19日以来首次;
10.数据:以太坊上稳定币总发行量突破740亿美元 创历史新高。[2021/7/7 0:34:33]
5)调整第3步中添加的叶子节点,使得计算的根哈希等于第1步中选取的提交成功的正确根哈希
金色晨讯 | 6月12日隔夜重要动态一览:21:00-7:00关键词:英国、人民日报、美国、BIS
1. 美国国会议员呼吁美联储提高CBDC工作的透明度;
2. 人民日报:加强区块链+农业等前沿技术超前布局;
3. 美国货币监理署临时主管:美联储和美国证券交易委员会应建立数字货币框架;
4. 前CFTC主席:数字美元的功能应与实物现金完全相同;
5. 美股三大股指均创三月中旬以来最大单日跌幅;
6. 深圳成立可进行国家标准申报测试的区块链标准化测评工作站;
7. 数据:比特币期货未平仓合约逼近40亿美元;
8. BIS创新中心负责人:新冠病推动了CBDC发展;
9. 英国央行官员:英国央行正积极探索CBDC。[2020/6/12]
6)最终构造出该特定区块(110217401)的提款证明
Q2:这次涉及的金额有说7.1亿美元的,也有说5.6亿美元的,这个金额到底是多少,该怎么算这个金额?
金色快评 | Coinbase、币安先后获得GIC、淡马锡投资:知情人士透露,新加坡政府投资公司(GIC)是去年美国加密货币交易Coinbase 3亿美元融资的投资者之一。根据去年10月的消息显示,Coinbase宣布完成了3亿美元E轮融资,估值超过80亿美元,融资中还获得了老虎基金、惠灵顿管理公司和安德森霍洛维茨基金等公司的投资。与此同时,币安在去年10月下旬也得到了新加坡淡马锡集团旗下全资子公司Vertex Ventures的投资,以支持币安在新加坡建立法币交易所和整个南亚的其他加密服务。
由此,新加坡两家投资基金均涉入数字货币领域的投资,且当前币安、Coinbase在市场上有较大的影响力,新加坡政府投资公司(GIC)以及淡马锡(temasek)在加密行业布局上获得了客户资源上的优势,占据了整个(数字货币交易所)赛道。[2019/2/28]
Beosin:由于涉及的金额较为庞大,并且涉及了多个链之间的跨链,金额不太统一也正常,根据Beosin安全团队的整理与追踪,目前得出的7.1亿美元是币安链上未涉及跨链部分的被盗资产,加上跨链部分的被盗资产,我们初步估计涉及金额在8.5亿美元左右。
金色讲堂第三期今晚开讲 BKFund联合创始人黄峤濛前来授课:6月22日晚8点,《金色讲堂》第三期第四次课开讲,BKFund联合创始人黄峤濛前来授课。BKFund是分布式资本孵化的独立数字资产基金,曾入选科技媒体36氪区块链投资机构风云榜前十名。课程详情请关注公众号“金色讲堂”。[2018/6/22]
Q3:这一次黑客选择攻击的又是跨链桥,为何跨链桥这么不安全?
Beosin:由于区块链经过了一段不短的发展时间,无论是区块链项目方自己还是区块链安全公司对于安全的重视程度都高于了以往,因此一些可以使用模板的简单项目往往难以出现漏洞,跨链桥这种代码复杂且含有链下部分的项目就更容易遭受攻击。跨链桥通常都是一些大项目,代码量较多,多个环节的组合下就容易出现一些组合型漏洞,然而这些漏洞又是较为隐蔽的,容易被黑客所利用。跨链桥还有一个高危点就是链下安全,由于链下代码一般与链上代码分开审计,并且通常由项目方自己来保证安全,所以安全公司无法由链上的代码来保证整个项目的安全性。
Q4:这个攻击对币安链有影响吗?币安链本身是安全的吗?为什么要暂停币安链?
Beosin:本次的攻击主要受影响的项目为BNB Chian跨链桥BSC Token Hub,是BNB Chain的预编译合约,因此币安链其他模块没有受到影响,用户自身的资产是安全的,不受此次事件的影响。暂停币安链一方面是为了冻结被盗资金,以防资金被进一步转移,另一方面为了避免潜在的攻击。
Q5:在黑客攻击成功后,在币安要求下币安链验证者暂停了币安链网络运行,在社区引发不少争议,怎么看币安和币安链的这一行为?
Beosin:币安如果不进行暂停,被盗资金一旦被大规模转移,可能再追回来就比较艰难了,我们认为币安只能选择暂停,尽管会造成很大的影响。
Q6:现在黑客多个地址被拉黑名单或者资产被冻结,这次黑客被盗资产结局会如何?
Beosin:本次攻击获利的大部分资金目前在币安链上已经被冻结,应该没有转移的风险。但是黑客这次在攻击成功的短时间内将不少的资金转移到了多个链上,如果这些链没有进行完全的冻结,这部分资金仍然有被转移的风险。
Q7:此次币安跨链桥被攻击和之前的黑客攻击有何异同?对社区有何新的启示?
Beosin:以往的跨链桥攻击通过线下漏洞或者是私钥泄露等方式的攻击较多,本次攻击通过的构造特定的根哈希来构造出特定区块的提款证明,从而使攻击成立,攻击难度比较大,并且数额较以往来说也比较高。本次事件也提醒了我们漏洞往往就在一些我们想不到的地方,因此只能不断去完善项目安全,比别有用心者更早的去发现这些问题所在,才能够更加维护我们的区块链生态安全。
此外,BNB链在被攻击后约12小时重新恢复运行,堪称BNB链惊魂12小时。
金色财经整理了BNB链10月7日被黑客攻击事件的时间线。
02:26~04:43:黑客从BNB Chain“代币中心”获200万枚BNB,并在Venus抵押90万枚借出约1.475亿稳定币
05:48:Tether已将BNB Chain攻击者地址列入黑名单
06:35:BNB Chain:发现漏洞,已暂停网络运行,正在调查潜在漏洞
07:51:赵长鹏:资金是安全的,BSC跨链桥漏洞导致产生额外的BNB
BNB Chain攻击者向以太坊和Fantom共转移约1亿美元,BNB Chain受攻击后BNB一度跌近5%
09:05~09:29:币安:计划与验证者联系进行节点升级,具体时间暂未确定
09:45:黑客地址与多个dApp进行过交互,转移至Avalanche链上资产或已冻结
11:30:BNB Chain黑客地址当前余额超7亿美元,
安全团队称:BNB Chain黑客布局最早可追溯到10月6日
13:02:BNB Chain发布BSC v1.1.15版本,所有节点运营者需升级
14:53:BNB Chain:BNB Chain网络已恢复出块开始恢复运行BNB Chain网络
金色新闻汇
区块精灵球
金色早8点
金色财经 子木
Block unicorn
DeFi之道
NFT中文社区
元宇宙之心MetaverseHub
金色财经Maxwell
月饼
-Kyle
金色数藏
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。