10月7日凌晨,黑客利用BNB Chian跨鏈橋BSC Token Hub漏洞,分兩次共盜取200萬枚BNB。據分析,攻擊涉及的總金額超過7億美元,其中包含5.7億美元的BNB。
BNB Chian是如何被攻擊的?黑客盜取金額具體有多少?黑客為何又是選取跨鏈橋攻擊?幣安鏈本身安全嗎?怎么看黑客攻擊后幣安鏈被暫停?被盜資產結局會如何?對社區有何新啟示?
上述問題用戶迫切想知道答案,金色財經就此采訪了區塊鏈安全公司Numen的安全研究員,看看安全研究員眼中的BNB Chian跨鏈橋被攻擊事件是什么樣的。
Q1、10月7日BNB Chian跨鏈橋BSC Token Hub 遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB。請詳細講解一下這次黑客是如何攻擊幣安鏈的?
金色午報 | 4月24日午間重要動態一覽:7:00-12:00關鍵詞:區塊鏈專利、USDT預增發、比特幣減半
1.支付寶區塊鏈專利數達2344件位列第一 騰訊第二。
2.泰達公司昨晚向增發事務池增加了3.6億USDT預增發交易。
3.ETH新地址數達到4017.625創三個月新高。
4.谷歌趨勢:“比特幣減半”搜索熱度創歷史新高。
5.韓國富川應用基于區塊鏈的智能停車管理系統。
6.BlockchainCapital向美國SEC提交發行豁免證券的注冊文件。
7.Stellar發展基金會宣布新增兩名董事會成員。
8.USDT溢價率已降至0.42%。
9.Poloniex再次宕機 目前服務已恢復。[2020/4/24]
Numen:黑客的攻擊行為其實很簡單,首先從changenow.io獲得攻擊所需的成本,然后利用幣安跨鏈橋處理消息驗證的基礎庫的漏洞,兩次偽造提現惡意消息,導致跨鏈橋向黑客地址發送了兩筆BNB,每筆都是100萬個BNB,價值約600M美金。
金色晨訊 | 2月18日隔夜重要動態一覽:21:00-7:00關鍵詞:FCoin、充提、DCEP、小額支付
1.FCoin變更郵件提現流程。
2.Chain.info:FCoin冷錢包中資金幾乎全部流入其他主流交易所。
3.經濟日報:重點發展區塊鏈等核心數字化產業。
4.日本新經濟協會要求FSA重新考慮STO和加密貨幣衍生品法。
5.Ripple首席執行官:Ripple持有超過150億美元XRP,IPO不可避免。
6.盤和林:產業界會在經濟社會發展主戰場加速區塊鏈等的應用實施。
7.eToro分析師:長期來看中國DCEP不會影響加密市場。
8.Visa加密負責人:比特幣小額支付是取代法幣的主要用例。
9.比特幣夜間小幅震蕩,最高漲至9724.04美元,最低跌至9578.59美元。[2020/2/18]
具體黑客如何構造proof以繞過消息驗證的方法我們還在研究,但可以確定的是BNB Chian在跨鏈消息驗證機制方面,使用了cosmos的IAVL庫和Multistoreproof的早期版本代碼,且已經被證明有漏洞存在。
金色晨訊 | 金磚五國討論創建新加密貨幣的可能性 百度開源區塊鏈底層技術:1.媒體:金磚五國討論為統一支付系統創建新加密貨幣的可能性。
2.成都科技項目申報首次提出支持區塊鏈,最高予20萬資助。
3.河南從古巴遣返押解“礦機”詐騙外逃經濟嫌犯,其涉案超13億元。
4.印度政府面向公眾和執法人員開放區塊鏈教育課程。
5.朱砝:嘉楠耘智將于11月21日在納斯達克敲鐘。
6.云南省區塊鏈普洱茶追溯平臺上線。
7.火幣中國與機工社達成戰略合作,推出國內高等教育區塊鏈教材。
8.雄安新區發布招標項目,利用區塊鏈資金管理平臺進行全過程資金管理。
9.中國電信成立區塊鏈與數字經濟實驗室。
10.百度開源鏈內并行專利技術、可插拔共識機制專利技術、一體化智能合約專利技術等區塊鏈底層核心技術。
11.桐成控股自11月18日起股份簡稱變更為“火幣科技”。
12.沃爾瑪加拿大分公司推出基于區塊鏈的貨運和支付系統。
13.美國商品期貨交易委員會主席:ETH 2.0 使用PoS機制后可能使以太坊成為證券。[2019/11/15]
Q2、這次涉及的金額有說7.1億美元的,也有說5.6億美元的,這個金額到底是多少,該怎么算這個金額?
分析 | 金色盤面:EOS/USDT 逼近前低:金色盤面綜合分析:EOS/USDT6小時K線收出長陰,跌倒了下降通道下軌,同時逼近前低,這里MACD同樣出現背離現象,密切關注能否形成反彈信號。[2018/8/8]
Numen:5.6億美金是按攻擊被發現時的BNB價格估算,而7.1億或許是在計算了venus的損失后做出的估計。黑客在攻擊完成后,通過venus借貸,抽干了借貸池中的USDT、BUSD、USDC等穩定幣。由于BNB Chain及時做出了響應,采取了暫停節點、黑名單和凍結等措施,已經將直接損失降低到了1億美金左右。
Q3、這一次黑客選擇攻擊的又是跨鏈橋,為何跨鏈橋這么不安全?
Numen:任何有資金池的合約都很容易受到攻擊,因為黑客的直接目的是獲取更多的資金。由于很多跨鏈橋在處理資產跨鏈時采用的是質押機制,所以產生了很多數目可觀的資金池,吸引了黑客的注意。
具體到跨鏈橋的實現邏輯上,跨鏈橋有三種實現方式,公證人、哈希時間鎖和中繼鏈,其中哈希時間鎖機制相對安全,但只能支持資產的轉移,無法實現消息傳遞;中繼鏈實現復雜,通過區塊鏈的共識機制保障安全,其安全問題一般較為底層,黑客較難利用;而現在大部分跨鏈橋所采用的公證人機制,由于存在私鑰管理、消息驗證、合約操作等多個環節出現漏洞的可能性,所以出現了大量的安全事件。
Q4、這個攻擊對幣安鏈有影響嗎?幣安鏈本身是安全的嗎?為什么要暫停幣安鏈?
Numen:這個攻擊對幣安鏈本身的影響不大,只是一些經濟和品牌損失,幣安鏈在處理完此次攻擊事件后,仍然可以穩定運行,對于主網本身來說,再不涉及到跨鏈驗證的其他層面,由于fork了經過多年驗證的以太坊源碼,所以相對來說是安全的,但是安全圈有句話叫“世界上沒有安全的系統”,所以BNB chain的開發者們仍然不能掉以輕心。
暫停幣安鏈是一個正確的選擇,在底層機制出現問題的時候,應當暫停運行,待查清楚具體問題并修復后和處理完相關賬號和資產后,再重新運行。
Q5、在黑客攻擊成功后,在幣安要求下幣安鏈驗證者暫停了幣安鏈網絡運行,在社區引發不少爭議,怎么看幣安和幣安鏈的這一行為?
Numen:幣安暫停網絡其實是一個負責任的行為,如果繼續運行網絡,那所有BNB chain的生態都會受到重大影響,現在并不是爭論中心化還是去中心化的時候,我們共同的敵人是黑客。
Q6、現在黑客多個地址被拉黑名單或者資產被凍結,各位覺得這次黑客被盜資產結局會如何?
Numen:已經凍結和被幣安鏈鎖住的資產暫時是安全的,而已經通過跨鏈轉移到ETH、FTM等鏈上的資產,可能難以追回。
Q7、此次幣安跨鏈橋被攻擊和之前的黑客攻擊有何異同?對社區有何新的啟示?
Numen:此次攻擊時針對供應鏈的攻擊,黑客顯然對BNB chain的底層供應鏈比較熟悉,這點在之前的安全事件中比較少見。
對社區的啟發是技術人員應當對自己使用的庫和copy的代碼做到深入的了解,要明白他們的運行機制,并能夠review代碼中的問題,同時應該投入更多的資源在代碼審計上,由專業的第三方安全審計公司來進行多輪的審計,以保障項目的安全。
金色財經Maxwell
Bankless
金色薦讀
FastDaily
中國金融雜志
巴比特資訊
元宇宙之道
Tags:區塊鏈BNBNUMEUSD區塊鏈的未來發展前景肖磊togetherbnb作弊碼NUME幣比特幣價格今日行情usdt
元宇宙產業投融資持續活躍,近期多家元宇宙細分賽道公司宣布完成融資。數據顯示,三季度國內元宇宙領域投融資事件總數為339起,較二季度增加188起,環比增長125%.
1900/1/1 0:00:00本文由Coinlive記者Darren原創,金色財經已獲得授權進行翻譯和轉載。GameFi最近一直在走下坡路,許多玩家都報告說在這個熊市中損失慘重游戲公會為成員挑選有前途和可持續發展的web3游.
1900/1/1 0:00:00在未來幾年里,利用加密原生軌道的消費者社交應用程序將會崛起。每一次重大的技術浪潮都會催生出一系列新的社交應用.
1900/1/1 0:00:00原文來源:W Labs 瓜田實驗室W Labs 編者按:上周寫了關于 SLG 游戲在鏈游端的一些想法,正好小飛也完成了一篇關于 SLG 游戲的調研,瓜友們對照著看就好.
1900/1/1 0:00:00來源:老雅痞 Taos Edmondson| 作者 互聯網是一場動人的盛宴。近年來,網絡的發展被那些對此類事物感興趣的人劃分為三個階段;'read' (Web1)、're.
1900/1/1 0:00:00明星公鏈Aptos主網于今日凌晨官宣上線。官方瀏覽器數據顯示,APT代幣的80%已抵押,引發社區80%代幣供應由團隊和投資者控制的猜測.
1900/1/1 0:00:00