10月7日凌晨,黑客利用BNBChian跨鏈橋BSCTokenHub漏洞,分兩次共盜取200萬枚BNB。據分析,攻擊涉及的總金額超過7億美元,其中包含5.7億美元的BNB。
BNBChian是如何被攻擊的?黑客盜取金額具體有多少?黑客為何又是選取跨鏈橋攻擊?幣安鏈本身安全嗎?怎么看黑客攻擊后幣安鏈被暫停?被盜資產結局會如何?對社區有何新啟示?
上述問題用戶迫切想知道答案,金色財經就此采訪了區塊鏈安全公司Numen的安全研究員,看看安全研究員眼中的BNBChian跨鏈橋被攻擊事件是什么樣的。
Q1、10月7日BNBChian跨鏈橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB。請詳細講解一下這次黑客是如何攻擊幣安鏈的??
金色午報 | 10月19日午間重要動態一覽:7:00-12:00關鍵詞:螞蟻集團、新西蘭、數字人民幣、摩根溪
1.螞蟻集團香港IPO獲得中國證監會批準。
2.新西蘭聯儲副行長:新西蘭聯儲正在評估數字貨幣
3.47,573名中簽個人成功領取“禮享羅湖數字人民幣紅包”。
4.中國央行今日開展500億元逆回購操作。
5.在經歷了18日的難度調整后 比特幣全網難度已達到20T。
6.摩根溪聯合創始人稱其80%的財富集中在比特幣。
7.比特幣持續震蕩,日內最低報11408.26美元,最高報11538美元。[2020/10/19]
Numen:黑客的攻擊行為其實很簡單,首先從changenow.io獲得攻擊所需的成本,然后利用幣安跨鏈橋處理消息驗證的基礎庫的漏洞,兩次偽造提現惡意消息,導致跨鏈橋向黑客地址發送了兩筆BNB,每筆都是100萬個BNB,價值約600M美金。
金色財經現場報道 火幣Pro總經理Tyler Wu:火幣資產價值以123%的速度增長:金色財經現場報道,在火幣Pro舉辦的越南Blockchain Festival千人大會上,火幣Pro總經理Tyler Wu其簡要介紹了火幣全球辦公室、超級節點等重要架構。他指出:火幣在新加坡、韓國等很多國家都有辦公,我們還有Sequoia資本和HADAX,有超過100人的全球精英已經加入我們,火幣也有很多產品諸如火幣錢包、交易所、OTC、火幣礦池、火幣研究中心、火幣生態、火幣超級節點等等,超級節點是HADAX投票的重要伙伴,我們還有火幣現場對話欄目、火幣Token、火幣資本。我們OTC的優勢是支持14種貨幣,在線客戶服務24??7工作等等,火幣資產價值正在以123%的速度增長。[2018/5/24]
具體黑客如何構造proof以繞過消息驗證的方法我們還在研究,但可以確定的是BNBChian在跨鏈消息驗證機制方面,使用了cosmos的IAVL庫和Multistoreproof的早期版本代碼,且已經被證明有漏洞存在。
金色財經現場報道 MLGB、GalaSport創始人黃翔:MassGrid已經實現低帶寬環境下的分布式神經網絡訓練:金色財經現場報道,5月19日下午在北京亞洲大酒店2018 HTML5區塊鏈游戲大會上,MLGB、GalaSport創始人黃翔表示,其實我就是MLGB(馬勒戈幣)幕后的那個人。但真實情況不是大家看到的,我們的項目本來不叫MLGB,而是叫MassGrid,一個高雅的名字。去年我們為了諷刺瘋狂的ICO現狀,制作了一個MLGB惡搞海報,沒想到短時間內就獲得了巨大關注,很多媒體都報道,還被央視批評。但我們的本質不是這樣,MassGrid已經實現低帶寬環境下的分布式神經網絡訓練,實現不需要中央服務器同步的多中心化分布式訓練連,并有望在短期內突破Facebook的2000張顯卡世界紀錄。[2018/5/19]
Q2、這次涉及的金額有說7.1億美元的,也有說5.6億美元的,這個金額到底是多少,該怎么算這個金額?
金色財經獨家分析 韓國銀行不愿接受數字貨幣交易者或將促使場外市場繁榮:金色財經獨家分析,據韓國時報報道,Bithumb的一名官員表示:“市場原本預期引進(數字貨幣交易)實名注冊制后,將有助于交易復興,但失敗了,因為本國的銀行不愿接納更多的數字貨幣交易者。”韓國一直是加密貨幣的熱門市場,韓元市場占到整個加密貨幣市場的比重僅次于日元和美元市場。Bithumb也是韓國第二大的加密貨幣交易所,之前韓國實施虛擬貨幣實名交易制,現有虛擬貨幣賬戶一律停用。此舉旨在提高交易透明度,防范投機勢力新入虛擬貨幣交易市場。然而目前來看,銀行對于數字貨幣交易者仍然保持著傳統金融機構的謹慎,再加上監管政策的不確定性,對于新興的加密貨幣,韓國銀行仍然是不愿接受數字貨幣交易者,那這樣的狀況對于韓國的加密貨幣市場會帶來一定的沖擊,不過也有可能將需求導向場外,這或許會促進韓國的場外加密貨幣市場。[2018/5/7]
Numen:5.6億美金是按攻擊被發現時的BNB價格估算,而7.1億或許是在計算了venus的損失后做出的估計。黑客在攻擊完成后,通過venus借貸,抽干了借貸池中的USDT、BUSD、USDC等穩定幣。由于BNBChain及時做出了響應,采取了暫停節點、黑名單和凍結等措施,已經將直接損失降低到了1億美金左右。
Q3、這一次黑客選擇攻擊的又是跨鏈橋,為何跨鏈橋這么不安全?
Numen:任何有資金池的合約都很容易受到攻擊,因為黑客的直接目的是獲取更多的資金。由于很多跨鏈橋在處理資產跨鏈時采用的是質押機制,所以產生了很多數目可觀的資金池,吸引了黑客的注意。
具體到跨鏈橋的實現邏輯上,跨鏈橋有三種實現方式,公證人、哈希時間鎖和中繼鏈,其中哈希時間鎖機制相對安全,但只能支持資產的轉移,無法實現消息傳遞;中繼鏈實現復雜,通過區塊鏈的共識機制保障安全,其安全問題一般較為底層,黑客較難利用;而現在大部分跨鏈橋所采用的公證人機制,由于存在私鑰管理、消息驗證、合約操作等多個環節出現漏洞的可能性,所以出現了大量的安全事件。
Q4、這個攻擊對幣安鏈有影響嗎?幣安鏈本身是安全的嗎?為什么要暫停幣安鏈??
Numen:這個攻擊對幣安鏈本身的影響不大,只是一些經濟和品牌損失,幣安鏈在處理完此次攻擊事件后,仍然可以穩定運行,對于主網本身來說,再不涉及到跨鏈驗證的其他層面,由于fork了經過多年驗證的以太坊源碼,所以相對來說是安全的,但是安全圈有句話叫“世界上沒有安全的系統”,所以BNBchain的開發者們仍然不能掉以輕心。
暫停幣安鏈是一個正確的選擇,在底層機制出現問題的時候,應當暫停運行,待查清楚具體問題并修復后和處理完相關賬號和資產后,再重新運行。
Q5、在黑客攻擊成功后,在幣安要求下幣安鏈驗證者暫停了幣安鏈網絡運行,在社區引發不少爭議,怎么看幣安和幣安鏈的這一行為?
Numen:幣安暫停網絡其實是一個負責任的行為,如果繼續運行網絡,那所有BNBchain的生態都會受到重大影響,現在并不是爭論中心化還是去中心化的時候,我們共同的敵人是黑客。
Q6、現在黑客多個地址被拉黑名單或者資產被凍結,各位覺得這次黑客被盜資產結局會如何??
Numen:已經凍結和被幣安鏈鎖住的資產暫時是安全的,而已經通過跨鏈轉移到ETH、FTM等鏈上的資產,可能難以追回。
Q7、此次幣安跨鏈橋被攻擊和之前的黑客攻擊有何異同?對社區有何新的啟示?
Numen:此次攻擊時針對供應鏈的攻擊,黑客顯然對BNBchain的底層供應鏈比較熟悉,這點在之前的安全事件中比較少見。
對社區的啟發是技術人員應當對自己使用的庫和copy的代碼做到深入的了解,要明白他們的運行機制,并能夠review代碼中的問題,同時應該投入更多的資源在代碼審計上,由專業的第三方安全審計公司來進行多輪的審計,以保障項目的安全。
原文作者:BenGiove原文來源:Bankless市場正處于動蕩之中,監管的鎖鏈正在收緊,對區塊空間的需求是2019年以來的最低點,今年最大的事件——合并,也已經結束.
1900/1/1 0:00:00a16z:應該監管web3應用程序而不是協議文/MilesJennings互聯網的許多早期支持者都主張它永遠保持自由和開放,這是全人類的無國界和無監管工具.
1900/1/1 0:00:00?作者:ChenglinPua硅谷是許多高科技公司的誕生地。而在硅谷里,有那么一家頂尖的孵化器,專門為初創公司提供學習以及尋找融資的平臺,即YCombinator.
1900/1/1 0:00:00微信公眾平臺《行為規范》新增數字藏品交易行為相關條款,明確提出從事虛擬貨幣或數字藏品類業務為違規經營行為,提供數字藏品二級交易服務將被封號.
1900/1/1 0:00:0010月11日消息,Ripple合作伙伴、澳大利亞金融科技公司Airwallex宣布以55億美元估值完成1億美元新一輪融資.
1900/1/1 0:00:0010月3日消息,據TransitFinance發推表示,目前各方安全公司和項目團隊仍在繼續努力追蹤被盜資產,并通過郵件及鏈上等方式與黑客溝通,團隊將繼續努力追回更多剩余被盜資產.
1900/1/1 0:00:00