加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > Uniswap > Info

解析:約 5.66 億美元 BNB 被盜全過程_區塊鏈:AVL價格

Author:

Time:1900/1/1 0:00:00

作者:秦曉峰,ODAILY星球日報

北京時間今天上午,BNB??Chian?跨鏈?橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB,價值約5.66億美元。和BNB鏈之間的跨鏈橋。)

消息一出,BNB價格在2小時內一度下跌近5%,跌至278.7美元低點,現報價284美元,24小時跌幅4.24%。

根據BNBChain的說法,從BSC提取的資金的初步估計在1億美元至1.1億美元之間。并且,Tether也在第一時間將黑客地址列入黑名單。“感謝社區和我們的內部和外部安全合作伙伴,估計700萬美元已經被凍結。”

Binance?創始人??CZ在社交媒體上發文表示,目前幣安?已要求所有驗證者暫停BSC網絡,用戶的資金是安全的,對于給用戶帶來的不便深表歉意,并將相應地提供進一步的更新。

針對具體的攻擊方式,Paradigm??研究員samczsun在社交媒體上發文表示,鏈上數據及相關代碼顯示,BSC跨鏈橋的驗證方式存在BUG,該BUG可能允許攻擊者偽造任意消息;本次攻擊中,攻擊者偽造信息通過了BSC跨鏈橋的驗證,使跨鏈橋向攻擊者地址發送了200萬枚BNB。

歐科云鏈張超:目前已累計解析超1.5億地址標簽,成全球最大鏈上地址標簽庫服務商:4月27日消息,歐科云鏈副總裁、歐科云鏈控股執行董事張超在出席“甲子引力X數字經濟高峰論壇”時表示,截至目前歐科云鏈已解析鏈上超1.5億地址標簽(實體標簽、行為標簽、屬性標簽)、數十億交易記錄、超1萬條結構化指標,成為全球最大的鏈上地址標簽庫服務商。

會上張超表示,未來歐科云鏈將繼續探索區塊鏈底層技術,加強對鏈上數據的分析、治理,為更多上層的區塊鏈應用添磚加瓦,服務于更多實體的應用層。[2022/4/27 2:33:56]

samczsun分析文章如下:

五小時前,攻擊者從BinanceBridge竊取了200萬BNB。此后我一直在與多方密切合作致力于揭示這一切如何發生的。

事情的起因是@zachxbt突然把攻擊者的地址發給了我。當我點擊進去的時候,我看到了一個價值數億美元的賬戶;要么是有項目rug跑路,要么就是正在進行大規模的黑客攻擊。

Cobo區塊鏈安全團隊公開0xDAO潛在盜幣漏洞發現過程及技術細節解析:4月2日消息,0xDAO v2原計劃上線前的幾個小時,Cobo區塊鏈安全團隊啟動對該項目的DaaS投前例行安全評估工作,隨后在github開源的項目代碼中發現了一個嚴重的安全漏洞。經評估,如果 0xDAO v2此時繼續上線,該漏洞預計會造成數億美金的資產損失。Cobo區塊鏈安全團隊立即啟動應急預案,快速通過多個渠道聯系到0xDAO項目方,提交該漏洞的完整攻擊流程,緊急叫停了項目上線,隨后協助0xDAO項目方對該漏洞進行了修復。

日前,0xDAO官方發布推文向Cobo區塊鏈安全團隊表示了感謝,并且表示會按照嚴重漏洞級別給予Cobo區塊鏈安全團隊漏洞賞金獎勵。[2022/4/2 14:00:31]

一開始,我以為@VenusProtocol又被黑了。然而,很快我就確定了攻擊者“真的”向Venus存入了超過2億美元。這時我就需要弄清楚這些資金的來源。

浪潮集團王偉兵:標識解析、標識密碼、區塊鏈是構建工業區塊鏈三個技術要素:金色財經現場報道,12月5日,2020世界區塊鏈大會于武漢舉辦,會上浪潮集團區塊鏈技術研究院首席架構師王偉兵演講表示,消費互聯網是實現人和人的連接的,工業互聯網從技術上看更偏重物,工業互聯網數量多,管理難度大,面向物的標識解析和密碼學適合應用。標識解析的本質是提供名稱映射的分布式數據庫,構建工業區塊鏈的三個技術要素是標識解析、標識密碼、區塊鏈。標識解析需要目錄服務、數據共享,標識密碼主要做設備身份認證、設備寫入鏈,區塊鏈則增強安全,完成可信交易。[2020/12/5 14:06:24]

答案是,攻擊者以某種方式說服了幣安跨鏈橋,直接給他們發送了1,000,000BNB,而且是兩次。

分析 | 杯柄形態ENJ最高漲幅83% 盤面解析:金色分析師:今日山寨幣ENJ最高漲幅83%,消息面上,ENJ確定成為三星Galaxy S10手機的合作伙伴。從盤面上看,小時圖幣價在未啟動前一直處于上升趨勢中,前期已經漲了一波,縮量調整回落,然后放量上攻,到達前期高處時候,又再次縮量調整,然后在放量上攻突破前期高點,然后幣價進入直線拉升趨勢,營造杯狀帶柄形態。[2019/3/8]

要么幣安推出Web3有史以來最大的“禮包”,要么攻擊者發現了一個嚴重的漏洞。我首先將攻擊者的交易與合法提款進行比較。我注意到的第一件事是攻擊者使用的高度始終相同——110217401,而合法提款使用的高度要大得多,例如270822321。

我還注意到攻擊者的證明明顯短于合法提款的證明。這兩個事實使我確信,攻擊者已經找到了一種方法來偽造該特定區塊的證明。現在,我必須弄清楚這些證明是如何工作的。

摩根士丹利分析師深度報告全解析:比特幣“見底”規律及六大必讀趨勢:摩根士丹利分析師Sheena Shah 19日發表最新研報。主要觀點包括:今天正在經歷的比特幣熊市早就在2000年的納斯達克市場上演過,只不過是以15倍速度在“快進”;熊市看到唯一交易量增加的數字貨幣可能就是USDT,盡管USDT的可靠性遭遇廣泛質疑,因為交易員們面對各種幣的大跌只能暫時先買回USDT;日元升值可能促使日本散戶增加對比特幣的投資;千幣齊跌,但區塊鏈行業依舊火熱,對于傳統VC來說,參與ICO也有三大好處;比特幣與其它幣之間的相關性隨價格下跌而上升,市場上漲時,它們的相關性反而下降;比特幣在不同交易所的價差顯示,價格觸底反彈的日子,價差會有規律的突然拉大。[2018/3/20]

在Binance上,有一個特殊的預編譯合約用于驗證IAVL樹。如果您對IAVL樹一無所知,也不要擔心,因為有95%的內容我都不懂。幸運的是,你和我所需要的只是剩下的5%。

基本上,當你驗證一個IAVL樹時,你指定了一個“操作”列表。幣安跨鏈橋通常需要兩個操作:“iavl:v”操作和“multistore”操作。以下是它們的實現:https://github.com/bnb-chain/bsc/blob/46d185b4cfed54436f526b24c47b15ed58a5e1bb/core/vm/lightclient/multistoreproof.go#L106-L125

為了偽造證明,我們需要兩個操作都成功,并且我們需要最后一個操作返回一個固定值。

通過查看?implementation,我們可以發現,操縱根哈希是不可能的,或者至少非常困難。這意味著我們需要我們的輸入值等于其中一個提交id。

“multistore”操作的輸入值是“iavl:v”操作的輸出值。這意味著我們想以某種方式控制這里的根變量,同時仍然通過值驗證。

那么如何計算根哈希?它發生在一個名為COMPUTEHASH的函數中。在非常高的層次上,它遞歸地遍歷每條路徑和葉節點并進行大量的哈希運算。

https://github.com/cosmos/iavl/blob/de0740903a67b624d887f9055d4c60175dcfa758/proof_range.go#L237-L290

實際上實現細節并不重要,重要的是,由于哈希函數的工作方式,我們基本上可以肯定地說,任何(path,nleaf)對都會產生唯一的哈希。如果我們想偽造證據,這些就得保持不變。

查看證明在合法交易中的布局方式,我們看到它的路徑很長,沒有內部節點,只有一個葉節點,這個葉節點包含我們惡意載荷的哈希值!如果我們不能修改這個葉節點,那么我們需要添加一個新的葉節點。

當然,如果我們添加一個新的葉節點,我們還需要添加一個新的內部節點來匹配。

現在我們只需要面對最后一個障礙。我們如何真正讓COMPUTEHASH返回我們想要的根哈希?好吧,請注意,最終我們將需要一個包含非零右哈希的路徑。當我們找到一個匹配時,我們斷言它與中間根哈希匹配。

讓我們稍微檢測一下代碼,這樣我們就可以弄清楚我們需要什么哈希,然后剩下的就是把它們放在一起,我們將采用合法證明并對其進行修改,以便:

1)我們為偽造的有效負載添加一個新葉節點;

2)我們添加一個空白內部節點以滿足證明者;

3)我們調整我們的葉節點以使用正確的根哈希提前退出

https://gist.github.com/samczsun/8635f49fac0ec66a5a61080835cae3db…

值得注意的是,這不是攻擊者使用的確切方法。他們的證明路徑要短得多,我不確定他們究竟是如何生成的。但是,漏洞利用的其余部分是相同的,我相信展示了如何從頭開始構建它是有價值的。

總之,幣安跨鏈橋驗證證明的方式存在一個錯誤,該錯誤可能允許攻擊者偽造任意消息。幸運的是,這里的攻擊者只偽造了兩條消息,但損害可能要嚴重得多。

Tags:區塊鏈BNBAVLXDAO區塊鏈域名選什么后綴好BNB初始發行價AVL價格LexDAO

Uniswap
DID 市場的異軍突起?數據詳解 ENS、NFT.Space 等頭部協議_ENS:NFT

來源:BombePro.eth 概要 當我們查詢DID整個市場的時候,第一優先級應該是尋找ENS市場。觀察ENS官網、核心開發者、對應的交易市場是如何發展、運作的.

1900/1/1 0:00:00
代幣經濟設計:協議、國家與傳統公司_DAO:WEB3COIN

作者:TinaHe,PackyMcCormick編譯:Jomosis1997,TheSeeDAO 嘿,朋友們, 周二好啊! 我在牛市中是一個愚蠢的樂觀主義者.

1900/1/1 0:00:00
Web3 時尚和生活方式平臺 Yoloyolo 完成 350 萬美元,ParaFi Capital 參投_WEB:ENT

據CoinDesk報道,Web3時尚和生活方式平臺Yoloyolo完成350萬美元融資,ParaFiCapital、MiranaVentures、MorningstarVentures、Aval.

1900/1/1 0:00:00
PrivacyIN 隱私學院 ZK 訓練營助力 ZK 賽道版圖持續擴張_PRI:TER

作者:PrivacyIN作為加密行業備受矚目的潛力賽道,ZK既可以保證知識的隱私性,也可以保證知識的有效性,這使得ZK在「隱私」、「擴容」等領域擁有廣泛應用場景.

1900/1/1 0:00:00
Wintermute 私鑰遭“暴力破解”損失1.6億美元,疑似原因早有預警_WIN:Transmute Protocol

作者:LoopyLu,ODAILY星球日報9月20日,Wintermute被盜。此次攻擊事件不僅讓Wintermute蒙受了損失,更暴露出了一個易被忽視的風險隱患.

1900/1/1 0:00:00
晚報|私募巨頭 KKR 部分私募股權基金上線 Avalanche;英國風投 Northzone 推出 10 億歐元基金,重點投資 Web3 等領域_區塊鏈:Flashswap

整理:餅干,鏈捕手 “過去24小時都發生了哪些重要事件”?1、英國風投Northzone推出10億歐元基金.

1900/1/1 0:00:00
ads