買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > AVAX > Info

BNB:金色觀察 | 安全研究員眼中的BNB Chian跨鏈橋被攻擊事件_NBC

Author:

Time:1900/1/1 0:00:00

10月7日凌晨,黑客利用BNBChian跨鏈橋BSCTokenHub漏洞,分兩次共盜取200萬枚BNB。據分析,攻擊涉及的總金額超過7億美元,其中包含5.7億美元的BNB。

BNBChian是如何被攻擊的?黑客盜取金額具體有多少?黑客為何又是選取跨鏈橋攻擊?幣安鏈本身安全嗎?怎么看黑客攻擊后幣安鏈被暫停?被盜資產結局會如何?對社區有何新啟示?

上述問題用戶迫切想知道答案,金色財經就此采訪了區塊鏈安全公司Numen的安全研究員,看看安全研究員眼中的BNBChian跨鏈橋被攻擊事件是什么樣的。

Q1、10月7日BNBChian跨鏈橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB。請詳細講解一下這次黑客是如何攻擊幣安鏈的??

BTC減半倒計時|金色財經挖礦收益播報:金色財經報道,據OKEx礦池數據顯示,下一次BTC減半日期預計為2020年5月13日,今天距此還有28天。BTC當前塊高625865,下一次減半塊高630000。

今日全網算力約115.67EH/s,全網難度約14.72T,預測下次難度15.82T(7.49%),距離調整還剩還有7天,今日BTC收益:0.00001709BTC/T/天。[2020/4/14]

Numen:黑客的攻擊行為其實很簡單,首先從changenow.io獲得攻擊所需的成本,然后利用幣安跨鏈橋處理消息驗證的基礎庫的漏洞,兩次偽造提現惡意消息,導致跨鏈橋向黑客地址發送了兩筆BNB,每筆都是100萬個BNB,價值約600M美金。

金色午報 | 3月9日午間重要動態一覽:7:00-12:00關鍵詞:比特幣、安徽金管局、關機價、暴跌

1. 安徽金管局:近日發現不法分子炒作“區塊鏈”等概念非法集資。

2. 比特幣算力達到122.1EH/s S9系列礦機再次達到關機價格。

3. 股市普跌 黃金期貨小幅上漲站上1700美元。

4. USDT溢價率攀升至3.13%。

5. “比特幣下跌”登微博熱搜榜 現排名42位。

6. 分析:新冠病、Plustoken涉案地址拋售等導致了BTC周末暴跌。

7. The Block研究總監稱趙長鵬參與Steem投票“不負責任”。

8. 2020胡潤全球少壯派白手起家富豪榜:徐明星、李林上榜。

9. BTC現報8041美元,日內跌幅4.29%,當前市值1474億美元。[2020/3/9]

具體黑客如何構造proof以繞過消息驗證的方法我們還在研究,但可以確定的是BNBChian在跨鏈消息驗證機制方面,使用了cosmos的IAVL庫和Multistoreproof的早期版本代碼,且已經被證明有漏洞存在。

金色相對論 | 區塊鏈萌寵Max Ksen:目前99%的游戲都屬于收藏游戲:在本期金色相對論之“Dapp游戲”中,針對金色財經內容合伙人佟揚“目前國際市場上區塊鏈游戲分類有哪些”的提問,區塊鏈萌寵(Blockchain Cuties)亞洲市場業務開發者Max Ksen(馬克思·可弦)表示,目前來說區塊鏈游戲這個領域不是很多種類。第一個最多的應是DAPP游戲就是賭博游戲。其實這樣的項目我們基本上不算在游戲市場里面,因為它用的代幣主要是為客人提供一個TRUST,證明它使用的算法和所有預算功能是正確和透明的。現在99%的游戲都屬于收藏游戲。收藏游戲分3種:1.普通收藏。出了收藏功能以外沒有其他功能,最好比方是CryptoKitties。2.可玩的游戲。包括收藏,戰斗和其他相同的功能。3. 戰略即時游戲。很抱歉,暫時沒有很好的舉例可供參考。但有一些這卡牌類游戲,就目前情況來說暫時卡牌類區塊鏈游戲還沒有出現在市場。[2018/12/3]

Q2、這次涉及的金額有說7.1億美元的,也有說5.6億美元的,這個金額到底是多少,該怎么算這個金額?

分析 | 金色盤面:ADA短線雖有反彈,但力度稍弱:金色盤面分析師表示:ADA自日內低點弱勢反彈,目前在震蕩區間中軌0.128美元受阻,如果不能突破還要向下測試低點支撐。[2018/8/5]

Numen:5.6億美金是按攻擊被發現時的BNB價格估算,而7.1億或許是在計算了venus的損失后做出的估計。黑客在攻擊完成后,通過venus借貸,抽干了借貸池中的USDT、BUSD、USDC等穩定幣。由于BNBChain及時做出了響應,采取了暫停節點、黑名單和凍結等措施,已經將直接損失降低到了1億美金左右。

Q3、這一次黑客選擇攻擊的又是跨鏈橋,為何跨鏈橋這么不安全?

Numen:任何有資金池的合約都很容易受到攻擊,因為黑客的直接目的是獲取更多的資金。由于很多跨鏈橋在處理資產跨鏈時采用的是質押機制,所以產生了很多數目可觀的資金池,吸引了黑客的注意。

具體到跨鏈橋的實現邏輯上,跨鏈橋有三種實現方式,公證人、哈希時間鎖和中繼鏈,其中哈希時間鎖機制相對安全,但只能支持資產的轉移,無法實現消息傳遞;中繼鏈實現復雜,通過區塊鏈的共識機制保障安全,其安全問題一般較為底層,黑客較難利用;而現在大部分跨鏈橋所采用的公證人機制,由于存在私鑰管理、消息驗證、合約操作等多個環節出現漏洞的可能性,所以出現了大量的安全事件。

Q4、這個攻擊對幣安鏈有影響嗎?幣安鏈本身是安全的嗎?為什么要暫停幣安鏈??

Numen:這個攻擊對幣安鏈本身的影響不大,只是一些經濟和品牌損失,幣安鏈在處理完此次攻擊事件后,仍然可以穩定運行,對于主網本身來說,再不涉及到跨鏈驗證的其他層面,由于fork了經過多年驗證的以太坊源碼,所以相對來說是安全的,但是安全圈有句話叫“世界上沒有安全的系統”,所以BNBchain的開發者們仍然不能掉以輕心。

暫停幣安鏈是一個正確的選擇,在底層機制出現問題的時候,應當暫停運行,待查清楚具體問題并修復后和處理完相關賬號和資產后,再重新運行。

Q5、在黑客攻擊成功后,在幣安要求下幣安鏈驗證者暫停了幣安鏈網絡運行,在社區引發不少爭議,怎么看幣安和幣安鏈的這一行為?

Numen:幣安暫停網絡其實是一個負責任的行為,如果繼續運行網絡,那所有BNBchain的生態都會受到重大影響,現在并不是爭論中心化還是去中心化的時候,我們共同的敵人是黑客。

Q6、現在黑客多個地址被拉黑名單或者資產被凍結,各位覺得這次黑客被盜資產結局會如何??

Numen:已經凍結和被幣安鏈鎖住的資產暫時是安全的,而已經通過跨鏈轉移到ETH、FTM等鏈上的資產,可能難以追回。

Q7、此次幣安跨鏈橋被攻擊和之前的黑客攻擊有何異同?對社區有何新的啟示?

Numen:此次攻擊時針對供應鏈的攻擊,黑客顯然對BNBchain的底層供應鏈比較熟悉,這點在之前的安全事件中比較少見。

對社區的啟發是技術人員應當對自己使用的庫和copy的代碼做到深入的了解,要明白他們的運行機制,并能夠review代碼中的問題,同時應該投入更多的資源在代碼審計上,由專業的第三方安全審計公司來進行多輪的審計,以保障項目的安全。

Tags:BNBBCHBNBCHNBC與你在一起bnb攻略完整版BCHK價格BNBCH價格NBC幣

AVAX
MOV:新加坡安全公司Numen發現Aptos公鏈首個高危0day漏洞_BACK

1.前言 相對于ethereum的soldity語言,move語言最近越來越火,而且由于其自身相對于soldity的強大優勢,越來越受到重視.

1900/1/1 0:00:00
AVE:位居DeFi龍頭仍不滿足?一文了解AAVE在社交、穩定幣的橫向布局_Chopper Inu

來源:老雅痞 DeFi、社交、穩定幣,可能只是AAVE帝國的開始。 來源:readthegeneralist,作者:MarioGabriele 編譯:老雅痞 Aave擁有超過56億美元的鎖定總價.

1900/1/1 0:00:00
DIG:熊市持續期間 多家加密公司發生高管人事變動_BNBeanstalk

這些公司包括CelsiusNetwork、VoyagerDigital、Kraken、GalaxyDigital、FTX、OpenSea等.

1900/1/1 0:00:00
ETH:你喜歡的明星和他身價不菲的猴子們_無聊猿挖金沙

JustinBieber 2022年1月30日,OpenSea認證為JustinBieberNFT的地址以500ETH買入無聊猿BAYC#3001.

1900/1/1 0:00:00
USDH:算穩總算要穩了?一文讀懂算穩“套娃”協議Hoardusdh_usdc幣是誰發行的

原文:CryptoAndrew推特用一籃子算穩作為抵押品的算穩。在進一步了解Hoar之前,這里我們需要把它分成2個部分:$USDH和$HRD.

1900/1/1 0:00:00
Maker:集權還是去中心化?MakerDAO 的治理迷霧_MAKE

1.MakerDAO的發展在穩定幣DAI概念公布后的第六年,今天的MakerDao協議仍然是以太坊鏈上最成功的DeFi應用之一.

1900/1/1 0:00:00
ads