加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > TRX > Info

金色觀察 | 安全研究員眼中的BNB Chian跨鏈橋被攻擊事件_BNB:NUME

Author:

Time:1900/1/1 0:00:00

10月7日凌晨,黑客利用BNB Chian跨鏈橋BSC Token Hub漏洞,分兩次共盜取200萬枚BNB。據分析,攻擊涉及的總金額超過7億美元,其中包含5.7億美元的BNB。

BNB Chian是如何被攻擊的?黑客盜取金額具體有多少?黑客為何又是選取跨鏈橋攻擊?幣安鏈本身安全嗎?怎么看黑客攻擊后幣安鏈被暫停?被盜資產結局會如何?對社區有何新啟示?

上述問題用戶迫切想知道答案,金色財經就此采訪了區塊鏈安全公司Numen的安全研究員,看看安全研究員眼中的BNB Chian跨鏈橋被攻擊事件是什么樣的。

Q1、10月7日BNB Chian跨鏈橋BSC Token Hub 遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB。請詳細講解一下這次黑客是如何攻擊幣安鏈的? 

金色財經挖礦數據播報 | ETH今日全網算力上漲1.11%:金色財經報道,據蜘蛛礦池數據顯示:

BTC全網算力150.664EH/s,挖礦難度20.60T,目前區塊高度665957,理論收益0.00000697/T/天。

ETH全網算力328.411TH/s,挖礦難度4354.54T,目前區塊高度11650423,理論收益0.00570237/100MH/天。

BSV全網算力0.695EH/s,挖礦難度0.09T,目前區塊高度669884,理論收益0.00129524/T/天。

BCH全網算力1.779EH/s,挖礦難度0.24,目前區塊高度670234,理論收益0.00050598/T/天。[2021/1/14 16:08:11]

Numen:黑客的攻擊行為其實很簡單,首先從changenow.io獲得攻擊所需的成本,然后利用幣安跨鏈橋處理消息驗證的基礎庫的漏洞,兩次偽造提現惡意消息,導致跨鏈橋向黑客地址發送了兩筆BNB,每筆都是100萬個BNB,價值約600M美金。

金色晨訊 | 5月8日隔夜重要動態一覽:21:00-7:00關鍵詞:Libra、區塊鏈應用、USDT增發、比特幣期貨

1.歐洲央行:Libra對金融系統穩定性構成威脅。

2.海南完成首筆跨境金融區塊鏈服務平臺融資業務。

3.北京市發改委戴穎:2020年將完善以區塊鏈為基礎的信息共享制度。

4.人民法院報:應充分借助區塊鏈拓展司法服務平臺服務功能。

5.中國軍網:區塊鏈技術應用前景廣闊。

6.CME比特幣期貨突破一萬美元大關。

7.Tether向以太坊網絡增發1.2億枚USDT(已授權未發行)。

8.因日本收緊加密規則,BitMEX及Deribit停止為日本用戶提供服務。

9.V神:以太坊可能是將全球社會凝聚在一起的粘合劑。[2020/5/8]

具體黑客如何構造proof以繞過消息驗證的方法我們還在研究,但可以確定的是BNB Chian在跨鏈消息驗證機制方面,使用了cosmos的IAVL庫和Multistoreproof的早期版本代碼,且已經被證明有漏洞存在。

金色晚報 | 3月16日晚間重要動態一覽:12:00-21:00關鍵詞:央行、美國SEC、IMF、比特幣

1. 穆長春:數字貨幣研究所正牽頭有序推進金融行業區塊鏈標準編制工作。

2. 美國SEC新提案或將允許私人公司通過STO籌集資金。

3. IMF:準備好調動1萬億美元貸款能力用于抗擊疫情。

4. The Block研究總監:比特幣和美股指期的高相關性導致加密市場前景較悲觀。

5. 觀點:比特幣不是近期唯一暴跌的資產,亞洲市場很快將恢復。

6. 通化縣法院采用區塊鏈智能合約技術 實現執行“一鍵立案”。

7. 一名紐約州女性利用加密貨幣資助恐怖組織被判刑13年。

8. 印度央行行長:印度央行將進行1萬億印度盧比的長期再融資操作。

9. 越南央行宣布將再融資利率下調100個基點至5%。

10. 歐洲股市跌幅繼續擴大 德國DAX指數跌近10%。[2020/3/16]

Q2、這次涉及的金額有說7.1億美元的,也有說5.6億美元的,這個金額到底是多少,該怎么算這個金額?

金色晨訊 | 華為發布區塊鏈白皮書:1.華爾街市場疑似退出騙局 或騙取了價值3000萬美元的加密貨幣

2.華為發布區塊鏈白皮書

3.BCH在半小時內下跌超1% 跌破300USDT關口

4.英屬維爾京群島和區塊鏈公司達成合作,提供基于區塊鏈的金融交易

5.發改委政研室主任:《產業結構調整指導目錄》中淘汰類修訂主要遵循三方面標準

6.新華網總編輯:用區塊鏈等新技術加強短視頻知識產權保護

7.Robert Wong:X-Block將邊緣計算稱為“霧計算” 拓展了云計算的概念

8.Red Pulse Phoenix 和Atomic Wallet將遷移至幣安鏈

9.?俄杜馬通過了網絡保護法案 或將影響加密業務[2019/4/21]

Numen:5.6億美金是按攻擊被發現時的BNB價格估算,而7.1億或許是在計算了venus的損失后做出的估計。黑客在攻擊完成后,通過venus借貸,抽干了借貸池中的USDT、BUSD、USDC等穩定幣。由于BNB Chain及時做出了響應,采取了暫停節點、黑名單和凍結等措施,已經將直接損失降低到了1億美金左右。

Q3、這一次黑客選擇攻擊的又是跨鏈橋,為何跨鏈橋這么不安全?

Numen:任何有資金池的合約都很容易受到攻擊,因為黑客的直接目的是獲取更多的資金。由于很多跨鏈橋在處理資產跨鏈時采用的是質押機制,所以產生了很多數目可觀的資金池,吸引了黑客的注意。

具體到跨鏈橋的實現邏輯上,跨鏈橋有三種實現方式,公證人、哈希時間鎖和中繼鏈,其中哈希時間鎖機制相對安全,但只能支持資產的轉移,無法實現消息傳遞;中繼鏈實現復雜,通過區塊鏈的共識機制保障安全,其安全問題一般較為底層,黑客較難利用;而現在大部分跨鏈橋所采用的公證人機制,由于存在私鑰管理、消息驗證、合約操作等多個環節出現漏洞的可能性,所以出現了大量的安全事件。

Q4、這個攻擊對幣安鏈有影響嗎?幣安鏈本身是安全的嗎?為什么要暫停幣安鏈? 

Numen:這個攻擊對幣安鏈本身的影響不大,只是一些經濟和品牌損失,幣安鏈在處理完此次攻擊事件后,仍然可以穩定運行,對于主網本身來說,再不涉及到跨鏈驗證的其他層面,由于fork了經過多年驗證的以太坊源碼,所以相對來說是安全的,但是安全圈有句話叫“世界上沒有安全的系統”,所以BNB chain的開發者們仍然不能掉以輕心。

暫停幣安鏈是一個正確的選擇,在底層機制出現問題的時候,應當暫停運行,待查清楚具體問題并修復后和處理完相關賬號和資產后,再重新運行。

Q5、在黑客攻擊成功后,在幣安要求下幣安鏈驗證者暫停了幣安鏈網絡運行,在社區引發不少爭議,怎么看幣安和幣安鏈的這一行為?

Numen:幣安暫停網絡其實是一個負責任的行為,如果繼續運行網絡,那所有BNB chain的生態都會受到重大影響,現在并不是爭論中心化還是去中心化的時候,我們共同的敵人是黑客。

Q6、現在黑客多個地址被拉黑名單或者資產被凍結,各位覺得這次黑客被盜資產結局會如何? 

Numen:已經凍結和被幣安鏈鎖住的資產暫時是安全的,而已經通過跨鏈轉移到ETH、FTM等鏈上的資產,可能難以追回。

Q7、此次幣安跨鏈橋被攻擊和之前的黑客攻擊有何異同?對社區有何新的啟示?

Numen:此次攻擊時針對供應鏈的攻擊,黑客顯然對BNB chain的底層供應鏈比較熟悉,這點在之前的安全事件中比較少見。

對社區的啟發是技術人員應當對自己使用的庫和copy的代碼做到深入的了解,要明白他們的運行機制,并能夠review代碼中的問題,同時應該投入更多的資源在代碼審計上,由專業的第三方安全審計公司來進行多輪的審計,以保障項目的安全。

金色財經Maxwell

Bankless

金色薦讀

FastDaily

中國金融雜志

巴比特資訊

元宇宙之道

Tags:BNB區塊鏈NUMNUMEtogetherbnb手游下載蘋果區塊鏈dapp開發白富美NUM價格Numeraire

TRX
那些估值10億的頭像NFT究竟什么來頭 是泡沫還是價值?_NFT:ZUKI

2021年6月10日,#7523號CryptoPunks NFT頭像以1175萬美元拍出,一張電子圖片為何能拍得如此高價?且聽娓娓道來.

1900/1/1 0:00:00
一段文字竟價值1.13億美金 loot七天上漲200倍 完全顛覆你的想象_OOT:FYZNFT幣

這兩天,全朋友圈都在發這樣的黑底白字(英文)的圖片,還沒等本序序反應過來,這玩意兒已經價值1億美元了,Loot,徹底火了!據最新OpenSea 數據顯示.

1900/1/1 0:00:00
星巴克NFT計劃的細節和思考_WEB:superwebusiness

上次講完星巴克的NFT實驗發現關心的小伙伴還比較多。這段時間不同渠道了解了更多細節,但一直沒空寫,拖到節前最后一天給大家快速分享下.

1900/1/1 0:00:00
漏洞早已存在數月?Temple DAO遭受攻擊損失230萬美元事件分析_STA:MPL

北京時間2022年10月11日21:11:11,CertiK Skynet天網檢測到項目Temple DAO遭到黑客攻擊,損失約230萬美元.

1900/1/1 0:00:00
金色早報 | 美國司法部和監管機構就FTX談判聯系幣安_加密貨幣:區塊鏈

▌ 美國司法部和監管機構就FTX談判聯系幣安金色財經報道,據一位知情人士透露,包括司法部在內的美國當局已經聯系了加密貨幣交易所Binance.

1900/1/1 0:00:00
金色早報 | 比特幣哈希率達到 321.15 EH/s 的歷史新高_ETH:kucoin交易平臺app下載

▌比特幣哈希率達到 321.15 EH/s 的歷史新高金色財經報道,Watcher.Guru發推表示,比特幣哈希率達到 321.15 EH/s 的歷史新高.

1900/1/1 0:00:00
ads