北京時間2022年10月7日,據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示,BNBChain跨鏈橋“代幣中心”遭遇黑客攻擊,由于涉及的金額較為龐大,并且涉及多個鏈之間的跨鏈,根據成都鏈安安全團隊的整理與追蹤,目前整理出7.1億美元是幣安鏈上未涉及跨鏈部分的被盜資產,加上跨鏈部分的被盜資產,我們初步估計涉及金額在8.5億左右。
這場震動整個行業的“攻擊”事件因何發生,關于本次事件,成都鏈安安全團隊第一時間進行了分析。
7點41分,幣安CEO趙長鵬發推表示,在BNBChain跨鏈橋“代幣中心”上的一個漏洞導致了額外的BNB,已要求所有驗證者暫停BNBChain,這個問題現在得到了控制,資金是安全的,將相應地提供進一步的更新。
Ref.Finance遭遇攻擊,約100萬枚REF和58萬枚NEAR受到影響:NEAR生態去中心化交易所Ref.Finance團隊發推稱,UTC時間8月14日下午2點左右,Ref團隊注意到REF-NEAR交易對的異常行為,隨即發現最近所部署合約的修補程序中的一個錯誤,且該錯誤已被多個用戶利用,致使約100萬枚REF和58萬枚NEAR受到影響。目前Ref團隊已暫停合約48小時以防止進一步的攻擊,并與交易所協調以阻止對應的帳戶,用戶無需采取任何行動,Ref將全額補償任何永久丟失的資金。同時Ref團隊表示希望對應的帳戶退還資金,如未在48小時內歸還,或將采取分叉代幣合約和刪除違規賬戶等操作。不需要REF持有者或LP采取任何行動來接收新代幣,而且原始的REF仍然存在。[2021/8/15 22:15:18]
這一次,黑客再次盯上跨鏈橋,因為跨鏈橋的復雜性以及累計的巨額財產,因此跨鏈橋往往成為黑客攻擊的首要目標,關于本次攻擊事件的詳細經過,我們接著往下看。
OpenDAO:黑客發起DDoS攻擊并索要贖金,協議安全且資金不受影響:DeFi協議OpenDAO發推稱,一個作惡者正試圖向OpenDAO索要贖金。我們不會參與。協議100%安全,資金不受影響。這是一次針對UI的DDoS攻擊。幸運的是,我們對此有準備,所以攻擊將是徒勞的。請留意我們的推文更新。[2020/11/28 22:25:26]
USDT、3500萬USDC。
成都鏈安安全團隊現將手法解析如下:
幣安跨鏈橋BSCTokenHub在進行跨鏈交易驗證時,使用了一個特殊的預編譯合約用于驗證IAVL樹。而該實現方式存在漏洞,該漏洞可能允許攻擊者偽造任意消息。
劉昌用:BCH有重組保護可能是BCHA空塊攻擊停止的直接原因:北京大學經濟學博士、知密大學創始人劉昌用在微博表示:對BCHA的空塊攻擊和粉塵攻擊停止了。unknown算力開始正常打包內存池內積壓的大量粉塵交易。BCH完成了此次分叉。攻擊方完全有能力組織對BCHA的51%攻擊,但知道BCH有重組保護,所以選擇空塊攻擊和粉塵攻擊。這可能是今天停止攻擊的直接原因。感謝攻擊方和防守方的演練,并最終回歸理性。攻擊事件再次證明BCH和BCHA在戰爭中成長為最安全的鏈。也希望BCH和BCHA各自在市場中證明自己,為密碼貨幣的成功貢獻力量。今日早前消息,網友爆料稱,BCHA鏈上打空塊霸屏的礦工已開始正常打包。[2020/11/25 22:04:39]
1)攻擊者先選取一個提交成功的區塊的哈希值
分析 | IBM:2018年加密貨幣盜竊活動已經超過了勒索軟件攻擊:IBM X-Force研究小組近日發布了一份報告,研究人員發現,2018年,加密貨幣網絡犯罪現場主要是由加密貨幣盜竊為主導,超過了勒索軟件攻擊。專家表示,惡意加密貨幣挖礦軟件的侵入性和隱秘性相對較低,是其迅速成為網絡罪犯首選攻擊載體的主要原因。[2019/3/3]
2)然后構造一個攻擊載荷,作為驗證IAVL樹上的葉子節點
3)在IAVL樹上添加一個任意的新葉子節點
4)同時,添加一個空白內部節點以滿足實現證明
5)調整第3步中添加的葉子節點,使得計算的根哈希等于第1步中選取的提交成功的正確根哈希
6)最終構造出該特定區塊的提款證明
當然,有一些細節還要進一步推敲,成都鏈安安全團隊正在進行深入研究,有結果將第一時間與大家分享。
成都鏈安安全團隊通過鏈必追-虛擬貨幣案件智能研判平臺對被盜資金進行追蹤分析,發現總計有1億4357萬美元的被盜資金通過跨鏈進行轉移。被盜資金中有7739萬美元的資金通過各種跨鏈轉入了以太坊,5896萬美元的資金留存在FTM鏈中,400萬美元的資金在Arbitrum鏈中,172萬美元的資金在Avalanche鏈中,40萬美元的資金在Polygon和110萬美元在Optimism。
鏈必追-虛擬貨幣案件智能研判平臺智能研判模塊
鏈必追-虛擬貨幣案件智能研判平臺地址分析模塊
鏈必追-虛擬貨幣案件智能研判平臺資金分析模塊
成都鏈安安全團隊根據鏈必追平臺進行的資金統計
到了下午13點,BNBChain發推稱,已發布BSCv1.1.15版本,BSC驗證者正在協調,以尋求在1小時內恢復BNB智能鏈。新版本將阻止黑客賬戶相關活動。BNB信標鏈和BNB智能鏈之間的原生跨鏈通信已禁用。官方要求所有節點運營者嘗試升級至上述版本。驗證者和社區將討論進一步升級以完全解決此問題。
下午三點左右,BNBChain發推稱,BNB智能鏈20多分鐘前開始良好運行。驗證者正在確認他們的狀態,社區基礎設施也在升級。此外,BscScan數據顯示,BNBChain網絡已恢復出塊。
成都鏈安安全團隊監測顯示,重啟之后,當前BSC節點程序通過黑名單與暫停iavlMerkleProofValidate功能的方式阻止被盜資金流動與潛在的攻擊。
以往的跨鏈橋攻擊通過線下漏洞或者是私鑰泄露等方式的攻擊較多,本次攻擊通過的構造特定的根哈希來構造出特定區塊的提款證明,從而使攻擊成立,攻擊難度比較大,并且數額較以往來說也比較高。本次事件也提醒了我們漏洞往往就在一些我們想不到的地方,因此只能不斷去完善項目安全,比別有用心者更早的去發現這些問題所在,才能夠更加維護我們的區塊鏈生態安全。
作為一家致力于區塊鏈安全生態建設的全球領先區塊鏈安全公司,也是最早將形式化驗證技術應用到區塊鏈安全的公司,成都鏈安目前已與國內外頭部區塊鏈企業建立了深度合作;為全球2500多份智能合約、100多個區塊鏈平臺和落地應用系統提供了安全審計與防御部署服務。成都鏈安同時具備全鏈條打擊虛擬貨幣犯罪和反洗錢技術服務能力,為等執法部門提供案件前、中、后期全鏈條技術支持服務千余次,包括數起進入混幣器平臺TornadoCash的案件,成功協助破獲案件總涉案金額數百億。歡迎點擊公眾號留言框,與我們聯系。
DearCoinUpusers.BSChasnowcompleteditsupgradeandCoinUpisnowresumingBSC-relatedcoinchargingandwithd.
1900/1/1 0:00:00著名的加密貨幣分析師MichalvandePoppe看好這些頂級山寨幣,預計未來幾天將大幅上漲.
1900/1/1 0:00:0010月9日消息,朝陽法院于今年3月向中國人民銀行、北京市地方金融監督管理局反饋案件審理中發現的相關線索,并發送了清理虛擬貨幣交易平臺的司法建議.
1900/1/1 0:00:00全面了解衡量人類情緒如何影響和干擾市場動態的指數。恐懼和貪婪是我們都熟悉的人類情緒。人類心理和我們的決策過程是多方面的和復雜的,涉及很多因素.
1900/1/1 0:00:0010月10日消息,年內有多家私人投資公司在首個比特幣期貨ETFProShares比特幣戰略ETF中建倉.
1900/1/1 0:00:00原文作者:Oak-MagicCloudLabs 內容摘要 這本書是要介紹VitalikButerin這位作者。神早期從事比特幣編輯工作,多年研究、訪談、寫作后,他成立了以太坊.
1900/1/1 0:00:00