Web3第一大黑客事件 攻擊涉及總金額超8.5億美元 BNB Chain遭受攻擊分析_BNB:bnb可以和幾個女主互動

北京時間2022年10月7日，據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示，BNBChain跨鏈橋“代幣中心”遭遇黑客攻擊，由于涉及的金額較為龐大，并且涉及多個鏈之間的跨鏈，根據成都鏈安安全團隊的整理與追蹤，目前整理出7.1億美元是幣安鏈上未涉及跨鏈部分的被盜資產，加上跨鏈部分的被盜資產，我們初步估計涉及金額在8.5億左右。

這場震動整個行業的“攻擊”事件因何發生，關于本次事件，成都鏈安安全團隊第一時間進行了分析。

1?BNBChain如何被黑客盯上

北京時間10月7日6點左右，BNBChain發推表示，由于活動異常，目前正在維護中，暫時暫停所有通過BNB鏈的存取款，直到有進一步的更新。

BNBChain在另一推文表示，被提取資金約7000萬至8000萬美元，已凍結700萬美元。

孫宇晨：Web3.0將釋放未來社會潛力 賦予個人資產自由:7月25日消息，波場TRON創始人、火幣Huobi全球顧問委員會成員孫宇晨受邀出席在日本舉辦的WebX大會，并進行主題演講。孫宇晨在演講中表示，Web3.0的到來將釋放未來社會的潛力，為個體賦權和實現財務包容鋪平道路。他特別強調穩定幣和實物資產代幣化（RWA）是Web3的重要領域，將連接虛擬空間與現實世界，同時有助于實現更高效的跨境匯款，并賦予個人更大的資產自由。

據悉，WebX是亞洲最大web3盛會，今年為第一屆，吸引了日本首相岸田文雄、日本自民黨政務調查會長萩生田光一、Yuga Labs首席執行官Daniel Alegre和AI機器人Desdemona等眾多政策制定者和行業領軍人物參會。會議旨在將日本定位為亞洲Web3中心，重點討論如何將區塊鏈等去中心化技術引入社會，以及加速全球業務合作。[2023/7/25 15:58:11]

7點41分，幣安CEO趙長鵬發推表示，在BNBChain跨鏈橋“代幣中心”上的一個漏洞導致了額外的BNB，已要求所有驗證者暫停BNBChain，這個問題現在得到了控制，資金是安全的，將相應地提供進一步的更新。

Solana Web3手機Saga推出NFT鑄造應用Minty Fresh:2月23日消息，Solana Web3手機Saga推出NFT鑄造應用程序Minty Fresh，支持用戶僅需輕點并完成拍攝，就可以直接在手機中進行NFT鑄造，并在幾秒鐘內將其轉換為鏈上的NFT，任何人都可以隨時隨地成為創作者。[2023/2/23 12:24:24]

這一次，黑客再次盯上跨鏈橋，因為跨鏈橋的復雜性以及累計的巨額財產，因此跨鏈橋往往成為黑客攻擊的首要目標，關于本次攻擊事件的詳細經過，我們接著往下看。

2?攻擊時間以及黑客手法解析

10月7號零點55分，黑客于區塊高度21955968通過調用合約繳納100BNB注冊成為Relayer。

凌晨兩點半左右開始，黑客從BNBChain的“代幣中心”系統合約分兩次共獲取了200萬枚BNB。并將其中90萬枚BNB在BNBChain上借貸協議Venus進行抵押，借出6250萬BUSD、5000萬USDT、3500萬USDC。?

Binance慈善機構將在2023年提供超過3萬個Web3獎學金:1月22日消息，Binance慈善機構Binance Charity宣布，將在2023年通過幣安慈善學者計劃為熱衷于在Web3領域開創事業的學生提供30650個獎學金。目前已有超過82000名申請者對，相當于約37%的錄取率。

據了解，幣安慈善學者計劃（BCSP）將提供免費的Web3教育和培訓課程，其教育合作伙伴包括西澳大利亞大學、塞浦路斯尼科西亞大學、德國法蘭克福金融與管理學院和尼日利亞技術中心Utiva。（cointelegraph）[2023/1/22 11:26:02]

成都鏈安安全團隊現將手法解析如下：

幣安跨鏈橋BSCTokenHub在進行跨鏈交易驗證時，使用了一個特殊的預編譯合約用于驗證IAVL樹。而該實現方式存在漏洞，該漏洞可能允許攻擊者偽造任意消息。

1）攻擊者先選取一個提交成功的區塊的哈希值

2）然后構造一個攻擊載荷，作為驗證IAVL樹上的葉子節點

趙長鵬發布五周年公開信：用戶量超過1.2億，希望成為Web3的門戶:7月14日消息，幣安創始人趙長鵬近日發布五周年公開信，其中表示幣安已經成為擁有一個為超過 1.2 億用戶服務的生態系統，并希望成為 Web3 的門戶，以及數十億人用來邁出進入這個新世界的第一步的工具集。

在具體產品方面，Binance Card 在兩年內發行了超過 170 萬張卡，Binance Pay 總交易量超過 120 億美元，涉及 1700 萬筆交易、7,000多家商家和數百萬用戶；Binance NFT 每周活躍用戶超過 60 萬，IGO 總交易量 10 億；Binance Earn 活躍用戶數量增長到 490 萬；Binance Labs 已在全球投資和孵化了 200 多個項目。[2022/7/15 2:14:17]

3）在IAVL樹上添加一個任意的新葉子節點

4）同時，添加一個空白內部節點以滿足實現證明

5）調整第3步中添加的葉子節點，使得計算的根哈希等于第1步中選取的提交成功的正確根哈希

Web3社交媒體平臺MattersLab完成200萬美元Pre-A輪融資，隆領投資參投:2月10日消息，Web3社交媒體平臺Matters Lab近期完成200萬美元Pre-A輪融資，隆領投資、ProtocolLabs、MaskNetwork、CrustNetwork、InfinityLabs、AssemblyPartners和IncubaAlpha等機構參投。

據悉，MattersLab于2018年成立，最初以“區塊鏈媒體實驗”聞名，首個產品為去中心化出版平臺Matters.news。2021年，該機構發布內容共創型NFT“Traveloggers”，并與香港文藝復興基金會合作舉辦第一季現場非小說寫作獎，以助寫作者創作紀錄片、調查報告，開展實地研究等。MattersLab計劃在今年發布基于HarbergerTax（哈伯格稅）理論的創作者DAO應用程序“TheSpace”。此外，新資金還將用于擴展合作及代幣化。[2022/2/10 9:42:54]

6）最終構造出該特定區塊的提款證明

當然，有一些細節還要進一步推敲，成都鏈安安全團隊正在進行深入研究，有結果將第一時間與大家分享。

成都鏈安安全團隊通過鏈必追-虛擬貨幣案件智能研判平臺對被盜資金進行追蹤分析，發現總計有1億4357萬美元的被盜資金通過跨鏈進行轉移。被盜資金中有7739萬美元的資金通過各種跨鏈轉入了以太坊，5896萬美元的資金留存在FTM鏈中，400萬美元的資金在Arbitrum鏈中，172萬美元的資金在Avalanche鏈中，40萬美元的資金在Polygon和110萬美元在Optimism。

鏈必追-虛擬貨幣案件智能研判平臺智能研判模塊

鏈必追-虛擬貨幣案件智能研判平臺地址分析模塊

鏈必追-虛擬貨幣案件智能研判平臺資金分析模塊

成都鏈安安全團隊根據鏈必追平臺進行的資金統計

3?恢復出塊的BNBChian還安全嗎？

10月7日9點半左右，BNBChain官方在社交媒體上發文表示，已要求BNBChain節點驗證者在未來幾個小時內與其聯系，以便可以計劃進行節點升級。

到了下午13點，BNBChain發推稱，已發布BSCv1.1.15版本，BSC驗證者正在協調，以尋求在1小時內恢復BNB智能鏈。新版本將阻止黑客賬戶相關活動。BNB信標鏈和BNB智能鏈之間的原生跨鏈通信已禁用。官方要求所有節點運營者嘗試升級至上述版本。驗證者和社區將討論進一步升級以完全解決此問題。

下午三點左右，BNBChain發推稱，BNB智能鏈20多分鐘前開始良好運行。驗證者正在確認他們的狀態，社區基礎設施也在升級。此外，BscScan數據顯示，BNBChain網絡已恢復出塊。

成都鏈安安全團隊監測顯示，重啟之后，當前BSC節點程序通過黑名單與暫停iavlMerkleProofValidate功能的方式阻止被盜資金流動與潛在的攻擊。

4?寫在最后，關于跨鏈橋安全的討論

由于區塊鏈經過了一段不短的發展時間，無論是區塊鏈項目方自己還是區塊鏈安全公司對于安全的重視程度都高于了以往，但是跨鏈橋這種代碼復雜且含有鏈下部分的項目非常容易遭受攻擊。

跨鏈橋通常都是一些大項目，代碼量較多，多個環節的組合下就容易出現一些組合型漏洞，然而這些漏洞又是較為隱蔽的，容易被黑客所利用。跨鏈橋還有一個高危點就是鏈下安全，由于鏈下代碼一般與鏈上代碼分開審計，并且通常由項目方自己來保證安全，導致很多漏洞被忽視。

以往的跨鏈橋攻擊通過線下漏洞或者是私鑰泄露等方式的攻擊較多，本次攻擊通過的構造特定的根哈希來構造出特定區塊的提款證明，從而使攻擊成立，攻擊難度比較大，并且數額較以往來說也比較高。本次事件也提醒了我們漏洞往往就在一些我們想不到的地方，因此只能不斷去完善項目安全，比別有用心者更早的去發現這些問題所在，才能夠更加維護我們的區塊鏈生態安全。

Tags：BNBWEBCHABCHbnb可以和幾個女主互動web3.0幣種有哪些lbchainbch幣行情最新價格

DAI