加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > 火幣APP > Info

金色觀察 | 安全研究員眼中的BNB Chian跨鏈橋被攻擊事件_BNB:BNBCH

Author:

Time:1900/1/1 0:00:00

10月7日凌晨,黑客利用BNBChian跨鏈橋BSCTokenHub漏洞,分兩次共盜取200萬枚BNB。據分析,攻擊涉及的總金額超過7億美元,其中包含5.7億美元的BNB。

BNBChian是如何被攻擊的?黑客盜取金額具體有多少?黑客為何又是選取跨鏈橋攻擊?幣安鏈本身安全嗎?怎么看黑客攻擊后幣安鏈被暫停?被盜資產結局會如何?對社區有何新啟示?

上述問題用戶迫切想知道答案,金色財經就此采訪了區塊鏈安全公司Numen的安全研究員,看看安全研究員眼中的BNBChian跨鏈橋被攻擊事件是什么樣的。

Q1、10月7日BNBChian跨鏈橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB。請詳細講解一下這次黑客是如何攻擊幣安鏈的??

分析 | 金色盤面:BTC期貨合約持倉變化:金色盤面綜合分析:OKEX的BTC期貨合約持倉達到BTC91725左右,與前值基本持平。做多賬戶56%,做空賬戶43%,多空主力持平;主力多頭平均持倉比例為24.09%,主力空頭平均持倉比例為16.49%,基本持平,截止發稿,OKEX現貨價格為6349,期貨合約當周BTC0817價格為6318,貼水將近30點左右。(數據來源OKEX)[2018/8/13]

Numen:黑客的攻擊行為其實很簡單,首先從changenow.io獲得攻擊所需的成本,然后利用幣安跨鏈橋處理消息驗證的基礎庫的漏洞,兩次偽造提現惡意消息,導致跨鏈橋向黑客地址發送了兩筆BNB,每筆都是100萬個BNB,價值約600M美金。

金色相對論丨朱砝:全網難度提高后老機器收益也會逐漸降低:在本期金色相對論上,幣印礦池聯合創始人朱砝表示,為何礦機公司要使用最新的工藝生產芯片?主要是新工藝更省電。挖礦的主要成本是電力,現此行情下,能耗高的機器已經關機了。開不了機就沒人買,沒人買就逼著礦機商生產更先進的機器,所以機器越省電越有價值。此外,全網難度提高之后,老機器的收益也會逐漸降低。[2018/6/27]

具體黑客如何構造proof以繞過消息驗證的方法我們還在研究,但可以確定的是BNBChian在跨鏈消息驗證機制方面,使用了cosmos的IAVL庫和Multistoreproof的早期版本代碼,且已經被證明有漏洞存在。

金色財經現場報道蠻子基金金鈺:未來分布式存儲將推動整個行業的發展:金色財經現場報道,在2018中國區塊鏈高峰論壇以“用什么姿態擁抱區塊鏈”的圓桌論壇上,蠻子基金金鈺表示,“在移動互聯網時代,硬件的發展已經到極限了,未來5G的出現,可能256G的手機可能鏈一部影片都存儲不了,未來分布式存儲將推動整個行業的發展。”[2018/5/20]

Q2、這次涉及的金額有說7.1億美元的,也有說5.6億美元的,這個金額到底是多少,該怎么算這個金額?

Numen:5.6億美金是按攻擊被發現時的BNB價格估算,而7.1億或許是在計算了venus的損失后做出的估計。黑客在攻擊完成后,通過venus借貸,抽干了借貸池中的USDT、BUSD、USDC等穩定幣。由于BNBChain及時做出了響應,采取了暫停節點、黑名單和凍結等措施,已經將直接損失降低到了1億美金左右。

金色財經數據播報 日元、美元、USDT的交易額與月初相比均出現大幅上升的現象:據cryptocompare數據顯示,在比特幣的交易貨幣占比中,日元占比目前走勢較為平緩,當前日元在交易貨幣中占比達到57.64%,24小時交易額為2255.6億日元,相比4月初的1491.5億日元,交易額上漲了764.1億日元;美元交易占比目前為19.68%,交易額為6.98億美元,與4月初的5.4億美元相比,交易額上漲了1.58億美元;USDT目前的交易占比為13.85%,交易額為4.87億美元,與4月初的3.7億美元相比,交易額上漲了1.17億美元。[2018/4/24]

Q3、這一次黑客選擇攻擊的又是跨鏈橋,為何跨鏈橋這么不安全?

Numen:任何有資金池的合約都很容易受到攻擊,因為黑客的直接目的是獲取更多的資金。由于很多跨鏈橋在處理資產跨鏈時采用的是質押機制,所以產生了很多數目可觀的資金池,吸引了黑客的注意。

具體到跨鏈橋的實現邏輯上,跨鏈橋有三種實現方式,公證人、哈希時間鎖和中繼鏈,其中哈希時間鎖機制相對安全,但只能支持資產的轉移,無法實現消息傳遞;中繼鏈實現復雜,通過區塊鏈的共識機制保障安全,其安全問題一般較為底層,黑客較難利用;而現在大部分跨鏈橋所采用的公證人機制,由于存在私鑰管理、消息驗證、合約操作等多個環節出現漏洞的可能性,所以出現了大量的安全事件。

Q4、這個攻擊對幣安鏈有影響嗎?幣安鏈本身是安全的嗎?為什么要暫停幣安鏈??

Numen:這個攻擊對幣安鏈本身的影響不大,只是一些經濟和品牌損失,幣安鏈在處理完此次攻擊事件后,仍然可以穩定運行,對于主網本身來說,再不涉及到跨鏈驗證的其他層面,由于fork了經過多年驗證的以太坊源碼,所以相對來說是安全的,但是安全圈有句話叫“世界上沒有安全的系統”,所以BNBchain的開發者們仍然不能掉以輕心。

暫停幣安鏈是一個正確的選擇,在底層機制出現問題的時候,應當暫停運行,待查清楚具體問題并修復后和處理完相關賬號和資產后,再重新運行。

Q5、在黑客攻擊成功后,在幣安要求下幣安鏈驗證者暫停了幣安鏈網絡運行,在社區引發不少爭議,怎么看幣安和幣安鏈的這一行為?

Numen:幣安暫停網絡其實是一個負責任的行為,如果繼續運行網絡,那所有BNBchain的生態都會受到重大影響,現在并不是爭論中心化還是去中心化的時候,我們共同的敵人是黑客。

Q6、現在黑客多個地址被拉黑名單或者資產被凍結,各位覺得這次黑客被盜資產結局會如何??

Numen:已經凍結和被幣安鏈鎖住的資產暫時是安全的,而已經通過跨鏈轉移到ETH、FTM等鏈上的資產,可能難以追回。

Q7、此次幣安跨鏈橋被攻擊和之前的黑客攻擊有何異同?對社區有何新的啟示?

Numen:此次攻擊時針對供應鏈的攻擊,黑客顯然對BNBchain的底層供應鏈比較熟悉,這點在之前的安全事件中比較少見。

對社區的啟發是技術人員應當對自己使用的庫和copy的代碼做到深入的了解,要明白他們的運行機制,并能夠review代碼中的問題,同時應該投入更多的資源在代碼審計上,由專業的第三方安全審計公司來進行多輪的審計,以保障項目的安全。

Tags:BNBNBCBNBCHBCHbnb游戲貼吧INNBCBNBCH價格BCHIP價格

火幣APP
元宇宙冷門新職業_元宇宙:VOXEL

元宇宙在近兩年得到許多人的關注。作為新事物,元宇宙帶來了新的機會,自然也產生了一些新的崗位。此前01區塊鏈撰寫了一篇《元宇宙帶來的新職業》,其中包括了元宇宙研究專家、元宇宙活動策劃師、元宇宙生態.

1900/1/1 0:00:00
詳解全球 Top10 加密風投機構(下)_COIN:MetaWeb3Pad

本報告上半部分(#1-#5排名):詳解全球Top10加密風投機構#6/?DragonflyCaptial 核心人物:HaseebQureshi//TomSchmidt 簡介 Dragonfly公.

1900/1/1 0:00:00
一文梳理 DeFi 現有的4種固定收益模型_TOK:TOKE

原文標題:《FixedRateYieldsThatOutperformETHStaking》原文作者:JackInabinet,Bankless原文編譯:Jack(0x137).

1900/1/1 0:00:00
金色觀察 | “木頭姐”公開致信美聯儲:FED正犯下政策錯誤_區塊鏈:區塊鏈的未來發展前景怎么樣

10月10日,華爾街著名人物、ARK投資管理公司CathieWood發表了一封致美聯儲的公開信。在公開信中,Wood表示,美聯儲對通脹的強硬立場可能是錯誤的.

1900/1/1 0:00:00
淺談如何讓鏈上游戲更有競爭力:程序生成_RTF:smartfund

原文作者:MatchboxDAO 介紹 雖然鏈上游戲與傳統游戲世界有其不同之處,但我們有義務考慮需要移植哪些功能才能使區塊鏈游戲更受歡迎.

1900/1/1 0:00:00
5 年的“十大加密貨幣”實驗和經驗教訓_加密貨幣:GRE

當RedditorJoeGreene在2018年開始Top10Cryptos實驗時,他購買了1,000美元的Dash、NEM和Iota等,但眼睜睜地看著它跌至150美元.

1900/1/1 0:00:00
ads