買比特幣 買比特幣
Ctrl+D 買比特幣
ads

ASH:BNB CrossChain Bridge 被黑簡析_HASH

Author:

Time:1900/1/1 0:00:00

By:?Kong

據慢霧區情報,2022年10月7日,BNBChian跨鏈橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB,超5.7億美元。慢霧安全團隊分析后以簡析的形式分享給大家。和?BNB鏈之間的跨鏈橋)

簡要分析

1.在BNBChain與BSC跨鏈的過程中,會由BSC上部署的跨鏈合約調用預編譯的0x65合約對提交的appHash、key、vaule、proof進行IVAL樹驗證。IAVL樹是AVL樹的變種即是一種為鍵值提供可驗證根的AVL樹的實現。

Li.Fi呼吁Uniswap部署在BNB Chain上不要只通過一個跨鏈橋:2月6日消息,跨鏈DEX聚合協議 LI.FI 敦促 Uniswap 社區不要僅與一家橋接提供商一起部署在 BNB Chain 上。Uniswap 這么大的協議不應該只依賴一個跨鏈橋。并指出,沒有一個 AMB(任意消息傳遞橋)經過足夠的測試,可以被認為是 Uniswap 規模的項目目前可以完全依賴的強大而安全的解決方案。加密橋聚合器 Li.Fi 建議Uniswap應該開發一個強大的橋評估框架作為通用治理模型。然后可以將其作為以太坊改進協議進行推廣,為使用橋接器提供商的其他區塊鏈應用程序設定標準。[2023/2/7 11:50:49]

2.驗證主要由IAVLValueOp與MultiStoreProofOp兩個op進行,IAVLValueOp會先通過ComputeRootHash計算roothash并進行驗證。驗證通過后會將輸出的roothash給到MultiStoreProofOp,MultiStoreProofOp將檢查獲得的roothash是否與lightClient獲得的一致。

或受特朗普NFT推動,Polygon日均交易量年內第二次超越BNB Chain:金色財經報道,據Nansen發布數據顯示,Polygon在18日當周的日均交易量接近300萬筆,超過了BNB Chain,也是Polygon今年內第二次在該指標上超越BNB Chain。分析顯示,Polygon之所以在年末交易量出現上漲或與美國前總統唐納德特朗普在 Polygon 上推出 NFT 系列有關。Nansen 的數據還顯示,當周有超過 332,000 名用戶在 Polygon 上鑄造了 NFT,比前幾周有顯著上升。[2022/12/26 22:07:18]

安全團隊:約300枚BNB從DAO Maker攻擊者地址轉入Tornado Cash:金色財經消息,據派盾監測,約300枚BNB從DAO Maker攻擊者地址轉入Tornado Cash。

注:去年8月,DAO Maker遭受黑客攻擊,被盜價值700萬美元的USDC。[2022/6/4 4:02:12]

3.ComputeRootHash將通過leafhash與restpath(innernode)進行遞歸hash并檢查是否與lastpathnode的right一致。

Ankr和Celer等聯合推出第一個基于BNB Chain的側鏈測試網:3月29日消息,BNB Chain發文表示,Ankr、Celer Network和NodeReal聯合推出首個基于BNB Chain的側鏈(BAS)測試網,并在BNB Chain生態系統中創建側鏈框架。

BAS允許部署者設置他們自己的驗證者集、自定義gas費用,甚至啟動他們自己的以BEP121格式運行的Token。BAS將以多種方式實現,包括PoS側鏈和ZKRollups。[2022/3/29 14:25:17]

4.而在具體的leafnode與innernode的哈希計算中我們可以看到當left為空時將計算leaf與right的hash,當right為空時將計算leaf與left的hash。但當left與right都存在的情況下,那么將忽略right,計算leaf與left的hash,即roothash將不會受right影響。

5.因此我們可以知道在path中,當left與right都存在的情況下將忽略right,返回leaf與left的hash,在遞歸哈希檢查中則會檢查此hash與lastpathnode的right是否一致。這就出現了在遞歸檢查中檢查了right,而在roothash計算中卻又忽略了right的情況。導致攻擊者可以在path中加入一個leaf與innernode的hash作為lastpathnode的right并添加一個空的innernode確保可驗證。使得在保持roothash不受影響的情況下插入了惡意的數據以竊取資金。

MistTrack分析

據慢霧?MistTrack反洗錢追蹤系統分析,這次黑客攻擊的初始資金來自ChangeNOW。

本次攻擊事件的黑客地址曾與多個DApp交互,包括Multichain、VenusProtocol、AlpacaFinance、Stargate、Curve、Uniswap、TraderJoe、PancakeSwap、SushiSwap等。此外,黑客轉移至以太坊上的?480萬?USDT?已被?Tether?列入黑名單,AVAX上的170萬USDT已被列入黑名單,Arbitrum上的200萬枚USDT已被列入黑名單。而由于BNBChain的及時暫停,黑客在BSC上的超4.1億美元已無法轉移。10月8日,黑客地址轉移約33,771枚ETH至0xFA0a3開頭的新地址,約合?4,500萬美元。

慢霧MistTrack將持續監控被盜資金的轉移。

Tags:ASHHASHBNBGHTCASHTHAIHashPuppybnb人物喜好Lightening Cash

比特幣最新價格
FIL:金色圖覽 | NFT行業周報(9.18 - 9.24)_NFT

周報概要: 1、上周NFT總交易額:228,269,890(美元)2、上周NFT總交易筆數:1,119.

1900/1/1 0:00:00
以太坊:關于ETH暫時進入通縮階段的4點觀察_sponge幣歸零了

距離以太坊合并完成已經過去了大約25天時間,根據ultrasound.money統計的數據顯示,在完全轉向PoS之后,以太幣的新增供應量大約為8665ETH,而如果以太坊網絡依舊保留PoW.

1900/1/1 0:00:00
SEA:華東政法大學劉憲權:元宇宙空間犯罪刑法規制的新思路_TSSEA

劉憲權:華東政法大學教授,法學博士,上海市法學會刑法學研究會會長 要目 一、不同發展階段的元宇宙空間犯罪類型二、元宇宙空間犯罪與現有犯罪類型的比較與區分三、元宇宙空間犯罪對傳統刑法理論的沖擊四、.

1900/1/1 0:00:00
WEB:從下一代數據中心角度 談為何 Web3 終將到來?_web3幣有哪些

需求的變化與市場的變遷是怎樣發生的?其中機會在哪?原文標題:《從下一代數據中心的角度,談談為何Web3終將到來》撰文:阿法兔;ShawnChang.

1900/1/1 0:00:00
ETH:NFTFi終極指南:如何為NFT所有者開辟金融化的世界?_BNFT價格

NFTFi是去中心化金融和NFTs的交集。這個新領域為收藏家們解鎖了一系列操作行動:以你的NFT為抵押進行貸款。以3個月分期付款的方式支付NFT。租用某個NFT一段時間以獲得社會影響力.

1900/1/1 0:00:00
OSMO:熱度比肩以太坊的Cosmos生態現在發展得怎么樣了?(上)_evmos幣解鎖機制

最近Cosmos算的上是風生水起,不僅生態在一天天壯大,表現也是比BTC和ETH硬的多,DelphiLab最近發表的那篇《FindaHomeforlabs》.

1900/1/1 0:00:00
ads