買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > AAVE > Info

區塊鏈:金色觀察 | 安全研究員眼中的BNB Chian跨鏈橋被攻擊事件_NUM

Author:

Time:1900/1/1 0:00:00

10月7日凌晨,黑客利用BNB Chian跨鏈橋BSC Token Hub漏洞,分兩次共盜取200萬枚BNB。據分析,攻擊涉及的總金額超過7億美元,其中包含5.7億美元的BNB。

BNB Chian是如何被攻擊的?黑客盜取金額具體有多少?黑客為何又是選取跨鏈橋攻擊?幣安鏈本身安全嗎?怎么看黑客攻擊后幣安鏈被暫停?被盜資產結局會如何?對社區有何新啟示?

上述問題用戶迫切想知道答案,金色財經就此采訪了區塊鏈安全公司Numen的安全研究員,看看安全研究員眼中的BNB Chian跨鏈橋被攻擊事件是什么樣的。

Q1、10月7日BNB Chian跨鏈橋BSC Token Hub 遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB。請詳細講解一下這次黑客是如何攻擊幣安鏈的? 

金色晨訊 | 12月7日隔夜重要動態一覽:21:00-7:00關鍵詞:監管環境、錨定幣、以太坊信托

1.中國基金報:監管環境改善為比特幣提供了可預測性;

2.澳洲聯儲主席洛威:仍對央行數字貨幣的需求存疑;

3.以太坊上BTC錨定幣總發行量為14.9萬枚;

4.11月灰度以太坊信托日均交易量創歷史新高;

5.Kraken業務開發總監:到2021年底,BTC將上漲至28.8萬美元;

6.互金協會李東榮:應嚴格按照經營范圍和業務規則執行區塊鏈等技術應用標準;

7.比特幣夜間持續上行,日內最高漲至19424.68美元,以太坊突破600美元。[2020/12/7 14:23:17]

Numen:黑客的攻擊行為其實很簡單,首先從changenow.io獲得攻擊所需的成本,然后利用幣安跨鏈橋處理消息驗證的基礎庫的漏洞,兩次偽造提現惡意消息,導致跨鏈橋向黑客地址發送了兩筆BNB,每筆都是100萬個BNB,價值約600M美金。

金色晚報 | 10月27日晚間重要動態一覽:12:00-21:00關鍵詞:比特幣算力、摩根大通、火幣冷錢包、Filecoin創始人、螞蟻集團

1. 摩根大通為區塊鏈及數字貨幣項目設立新部門。

2. 數據:比特幣算力在觸及月中的歷史高位后出現回落。

3. 火幣交易所已支持Visa和萬事達卡直接支付服務。

4. 數據:火幣冷錢包以20萬枚BTC余額排名第一。

5. Filecoin創始人胡安:數據存儲需求未來會增長3倍。

6. 螞蟻集團CEO:數字貨幣對于螞蟻集團是正向的增量,而不是負向的減量。

7. BM:B1和EOS都是實現自由市場解決方案的一部分。

8. 火幣集團李林:區塊鏈行業未來有三大機遇。

9. Vitalik:公鏈的價值來自于不同應用的鏈接。[2020/10/27]

具體黑客如何構造proof以繞過消息驗證的方法我們還在研究,但可以確定的是BNB Chian在跨鏈消息驗證機制方面,使用了cosmos的IAVL庫和Multistoreproof的早期版本代碼,且已經被證明有漏洞存在。

金色晚報 | 5月20日晚間重要動態一覽:12:00-21:00關鍵詞:灰度、比特幣期權、比特幣算力、OKChain、CFTC

1. 灰度管理資產總額再創新高,達38億美元。

2. 數據:Deribit比特幣期權未平倉量已突破10萬BTC,創歷史新高。

3. 觀點:如果BTC價格沒有大幅上漲,下次挖礦難度降幅可能超過10%。

4. 四川省發布電力調度通知 部分礦場或受影響。

5. 礦池運營商預計未來幾周比特幣算力會增加。

6. 證券代幣平臺TokenSoft利用以太坊區塊鏈發行股票。

7. OKChain測試網將于25日升級為0.10版本。

8. 商品期貨交易委員會(CFTC)授予比特幣衍生品交易所開展合約市場的指令。

9. 《富爸爸,窮爸爸》作者稱美國即將崩潰 用比特幣“拯救自己”。[2020/5/20]

Q2、這次涉及的金額有說7.1億美元的,也有說5.6億美元的,這個金額到底是多少,該怎么算這個金額?

金色財經現場報道 EOSIO首屆香港見面會+DAWN3.0特別發布會在香港麗思卡爾頓酒店正式開啟:金色財經現場報道,4月6日晚間,備受矚目的EOS.io香港見面會如期舉辦,EOS團隊Block.one核心成員出席此次活動,與1500名來自世界各地區塊鏈社區開發人員、區塊鏈愛好者會面,為區塊鏈領域項目人員提供難得的交流機會。Sean Mitchell和合伙人Ian Grigg在會上發表演講,相比今年1月15日舉辦的首爾見面會,此次參會人數翻番,體現出EOSIO熱度的迅速提升。[2018/4/6]

Numen:5.6億美金是按攻擊被發現時的BNB價格估算,而7.1億或許是在計算了venus的損失后做出的估計。黑客在攻擊完成后,通過venus借貸,抽干了借貸池中的USDT、BUSD、USDC等穩定幣。由于BNB Chain及時做出了響應,采取了暫停節點、黑名單和凍結等措施,已經將直接損失降低到了1億美金左右。

Q3、這一次黑客選擇攻擊的又是跨鏈橋,為何跨鏈橋這么不安全?

Numen:任何有資金池的合約都很容易受到攻擊,因為黑客的直接目的是獲取更多的資金。由于很多跨鏈橋在處理資產跨鏈時采用的是質押機制,所以產生了很多數目可觀的資金池,吸引了黑客的注意。

具體到跨鏈橋的實現邏輯上,跨鏈橋有三種實現方式,公證人、哈希時間鎖和中繼鏈,其中哈希時間鎖機制相對安全,但只能支持資產的轉移,無法實現消息傳遞;中繼鏈實現復雜,通過區塊鏈的共識機制保障安全,其安全問題一般較為底層,黑客較難利用;而現在大部分跨鏈橋所采用的公證人機制,由于存在私鑰管理、消息驗證、合約操作等多個環節出現漏洞的可能性,所以出現了大量的安全事件。

Q4、這個攻擊對幣安鏈有影響嗎?幣安鏈本身是安全的嗎?為什么要暫停幣安鏈? 

Numen:這個攻擊對幣安鏈本身的影響不大,只是一些經濟和品牌損失,幣安鏈在處理完此次攻擊事件后,仍然可以穩定運行,對于主網本身來說,再不涉及到跨鏈驗證的其他層面,由于fork了經過多年驗證的以太坊源碼,所以相對來說是安全的,但是安全圈有句話叫“世界上沒有安全的系統”,所以BNB chain的開發者們仍然不能掉以輕心。

暫停幣安鏈是一個正確的選擇,在底層機制出現問題的時候,應當暫停運行,待查清楚具體問題并修復后和處理完相關賬號和資產后,再重新運行。

Q5、在黑客攻擊成功后,在幣安要求下幣安鏈驗證者暫停了幣安鏈網絡運行,在社區引發不少爭議,怎么看幣安和幣安鏈的這一行為?

Numen:幣安暫停網絡其實是一個負責任的行為,如果繼續運行網絡,那所有BNB chain的生態都會受到重大影響,現在并不是爭論中心化還是去中心化的時候,我們共同的敵人是黑客。

Q6、現在黑客多個地址被拉黑名單或者資產被凍結,各位覺得這次黑客被盜資產結局會如何? 

Numen:已經凍結和被幣安鏈鎖住的資產暫時是安全的,而已經通過跨鏈轉移到ETH、FTM等鏈上的資產,可能難以追回。

Q7、此次幣安跨鏈橋被攻擊和之前的黑客攻擊有何異同?對社區有何新的啟示?

Numen:此次攻擊時針對供應鏈的攻擊,黑客顯然對BNB chain的底層供應鏈比較熟悉,這點在之前的安全事件中比較少見。

對社區的啟發是技術人員應當對自己使用的庫和copy的代碼做到深入的了解,要明白他們的運行機制,并能夠review代碼中的問題,同時應該投入更多的資源在代碼審計上,由專業的第三方安全審計公司來進行多輪的審計,以保障項目的安全。

金色財經Maxwell

Bankless

金色薦讀

FastDaily

中國金融雜志

巴比特資訊

元宇宙之道

Tags:BNB比特幣區塊鏈NUMDBNB中國比特幣現狀最新區塊鏈技術通俗講解圖Arenum

AAVE
DAO:以太坊合并一個月后 各poW公鏈算力情況如何?_TGDAO

原文作者:wesely 一個月前,以太坊的成功合并開啟了它的全新時代,而以太坊礦工也成為一個歷史性的名詞,伴隨著的還有其 50 億美元的礦機市場和 850TH/S 龐大算力的煙消云散.

1900/1/1 0:00:00
區塊鏈:金色觀察 | 一分鐘速覽Aptos代幣經濟學_APT

明星公鏈Aptos主網于今日凌晨官宣上線。官方瀏覽器數據顯示,APT代幣的80%已抵押,引發社區80%代幣供應由團隊和投資者控制的猜測.

1900/1/1 0:00:00
Aptos:晚間必讀 | 一分鐘速覽Aptos代幣經濟學_區塊鏈

明星公鏈Aptos主網于今日凌晨官宣上線。官方瀏覽器數據顯示,APT代幣的80%已抵押,引發社區80%代幣供應由團隊和投資者控制的猜測.

1900/1/1 0:00:00
ART:錢包終局之戰:無私鑰的未來_PART

作者:Loopy Lu;編輯:郝方舟出品 | Odaily星球日報(ID:o-daily)Web3 革命已經掀起.

1900/1/1 0:00:00
區塊鏈:NFT的核心價值到底是什么?好戲還在后頭_區塊鏈幣圈大佬排行榜

Ari Juels是紐約康奈爾大學的教授,也是IC3的聯合董事。另外,他還是Chainlink Labs的首席科學家.

1900/1/1 0:00:00
NFT:擁有5個頂級NFT系列的Yuga Labs遭SEC調查_ABS

據彭博社報道,Yuga Labs 正面臨美國證券交易委員會 (SEC) 對其高價值 NFT 產品銷售合法性的調查.

1900/1/1 0:00:00
ads