BCH:金色觀察 | BNB鏈驚魂12小時 七個問題讀懂_iBCH幣

10月7日凌晨，黑客利用BNBChian跨鏈橋BSCTokenHub漏洞，分兩次共盜取200萬枚BNB。據分析，攻擊涉及的總金額超過7億美元，其中包含5.7億美元的BNB。

BNBChian是如何被攻擊的？黑客盜取金額具體有多少？黑客為何又是選取跨鏈橋攻擊？幣安鏈本身安全嗎？怎么看黑客攻擊后幣安鏈被暫停？被盜資產結局會如何？對社區有何新啟示？

上述問題用戶迫切想知道答案，金色財經就此采訪了Beosin安全研究專家。

七個問題帶你讀懂BNB鏈被攻擊事件

Q1：10月7日BNBChian跨鏈橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB。請向我們詳細講解一下這次黑客是如何攻擊的?

Beosin：1）攻擊者先選取一個提交成功的區塊的哈希值

金色晨訊丨11月13日隔夜重要動態一覽:21：00-7：00關鍵詞：數字歐元，美聯儲，PayPal，歐科云鏈

1.歐洲央行行長：預感歐洲將推出數字歐元；

2.灰度資產管理總規模達到94億美元；

3.比特幣成為按市值計算全球第二十大資產；

4.CME比特幣期貨11月合約收報16240美元；

5.美股三大指數收盤均下跌 區塊鏈概念股漲跌各異；

6.歐科云鏈將于11月27日舉行董事會會議；

7.美聯儲副主席：美聯儲仍處于調查數字美元可行性的早期階段；

8.PayPal正為所有符合條件的美國用戶開放加密貨幣服務；

9.比特幣持續上漲，日內最低報15884.79美元，最高報16339.63美元。[2020/11/13 14:10:29]

2）然后構造一個攻擊載荷，作為驗證IAVL樹上的葉子節點

金色財經行情播報丨BTC小幅回調短線波動擴大:據火幣行情顯示，今日上午BTC開始回調，局部行情跌破11000USDT，并圍繞區間持續震蕩。日線圖乖離值較大已開始修整，整體保持底比底高節奏，有形成上升楔形可能。4小時圖跌破均線MA10，并且均線MA5構成打壓。1小時圖行情波動擴大，圍繞11000USDT附近持續震蕩。截至18:30，主流幣的具體表現如下：[2020/7/30]

3）在IAVL樹上添加一個任意的新葉子節點

4）同時，添加一個空白內部節點以滿足實現證明

5）調整第3步中添加的葉子節點，使得計算的根哈希等于第1步中選取的提交成功的正確根哈希

6）最終構造出該特定區塊的提款證明

Q2：這次涉及的金額有說7.1億美元的，也有說5.6億美元的，這個金額到底是多少，該怎么算這個金額？

金色晨訊 | 內蒙古五部委發出清理整頓虛擬貨幣挖礦的通知:1.28家比特幣礦業公司在吉爾吉斯斯坦面臨電力供應暫停。

2.比特幣全網難度已上調至歷史新高。

3.Coinbase宣布將在下周上線Dash。

4.內蒙古五部委發出清理整頓虛擬貨幣挖礦的通知。

5.法國交易所Coinhouse遭受黑客釣魚攻擊 已切換到維護模式以保護用戶資金。

6.智能合約先驅尼克·薩博：說Libra是加密貨幣 就如同說洋娃娃是嬰兒。

7.Libra協會COO：Libra儲備金最多不會超過2000億美元，預計美元占一半。

8.Susquehanna數字資產主管：行業尚未解決美國SEC對比特幣ETF的擔憂。

9.CryptoTrader.Tax首席執行官：美國國稅局通過信息申報表1099-K作為納稅依據存在問題。[2019/9/15]

Beosin：由于涉及的金額較為龐大，并且涉及了多個鏈之間的跨鏈，金額不太統一也正常，根據Beosin安全團隊的整理與追蹤，目前得出的7.1億美元是幣安鏈上未涉及跨鏈部分的被盜資產，加上跨鏈部分的被盜資產，我們初步估計涉及金額在8.5億美元左右。

金色財經現場報道 愛立信日本新技術開發部 Director秦中陵：能為社會創造價值并取得盈利的項目才是真正的落地:金色財經現場報道，在2018FINWISE東京紛智峰會上，進行以《區塊鏈技術的落地應用》為題的圓桌論壇，日中AI·IoT 聯盟執行委員長，愛立信日本新技術開發部Director秦中陵表示：每個人針對什么樣的項目才是真正的落地有不同的見解，Token是非常重要的，如果Token非常受歡迎，那么它可能是十分成功的。我認為能為社會創造價值并已經取得了盈利的項目才是真正的落地項目。今年的后半年時間里，整個行業可能不會有太大的波動，加密貨幣行業還會繼續發展。版權、保險、娛樂等領域的需求可能會更多，另外，聯盟鏈可能也會取得一定的突破。在不久的未來，各種加密貨幣可能會實現互通。從技術角度而言，更多的技術人員更喜歡攻克困難，反而不在乎這項技術能產生多少經濟價值；從商業角度而言，我們要創建一個解決方案，這個解決方案應該是能創造價值的；另外，我們也過分強調了一些概念，當我們提供一些產品時，如果這個產品能被社會或普通人接受，那么我們不應該給他們提供投機的機會。[2018/5/21]

Q3：這一次黑客選擇攻擊的又是跨鏈橋，為何跨鏈橋這么不安全?

Beosin：由于區塊鏈經過了一段不短的發展時間，無論是區塊鏈項目方自己還是區塊鏈安全公司對于安全的重視程度都高于了以往，因此一些可以使用模板的簡單項目往往難以出現漏洞，跨鏈橋這種代碼復雜且含有鏈下部分的項目就更容易遭受攻擊。跨鏈橋通常都是一些大項目，代碼量較多，多個環節的組合下就容易出現一些組合型漏洞，然而這些漏洞又是較為隱蔽的，容易被黑客所利用。跨鏈橋還有一個高危點就是鏈下安全，由于鏈下代碼一般與鏈上代碼分開審計，并且通常由項目方自己來保證安全，所以安全公司無法由鏈上的代碼來保證整個項目的安全性。

Q4：這個攻擊對幣安鏈有影響嗎?幣安鏈本身是安全的嗎?為什么要暫停幣安鏈?

Beosin：本次的攻擊主要受影響的項目為BNBChian跨鏈橋BSCTokenHub，是BNBChain的預編譯合約，因此幣安鏈其他模塊沒有受到影響，用戶自身的資產是安全的，不受此次事件的影響。暫停幣安鏈一方面是為了凍結被盜資金，以防資金被進一步轉移，另一方面為了避免潛在的攻擊。

Q5：在黑客攻擊成功后，在幣安要求下幣安鏈驗證者暫停了幣安鏈網絡運行，在社區引發不少爭議，怎么看幣安和幣安鏈的這一行為?

Beosin：幣安如果不進行暫停，被盜資金一旦被大規模轉移，可能再追回來就比較艱難了，我們認為幣安只能選擇暫停，盡管會造成很大的影響。

Q6：現在黑客多個地址被拉黑名單或者資產被凍結，這次黑客被盜資產結局會如何?

Beosin：本次攻擊獲利的大部分資金目前在幣安鏈上已經被凍結，應該沒有轉移的風險。但是黑客這次在攻擊成功的短時間內將不少的資金轉移到了多個鏈上，如果這些鏈沒有進行完全的凍結，這部分資金仍然有被轉移的風險。

Q7：此次幣安跨鏈橋被攻擊和之前的黑客攻擊有何異同?對社區有何新的啟示?

Beosin：以往的跨鏈橋攻擊通過線下漏洞或者是私鑰泄露等方式的攻擊較多，本次攻擊通過的構造特定的根哈希來構造出特定區塊的提款證明，從而使攻擊成立，攻擊難度比較大，并且數額較以往來說也比較高。本次事件也提醒了我們漏洞往往就在一些我們想不到的地方，因此只能不斷去完善項目安全，比別有用心者更早的去發現這些問題所在，才能夠更加維護我們的區塊鏈生態安全。

BNB鏈驚魂12小時

此外，BNB鏈在被攻擊后約12小時重新恢復運行，堪稱BNB鏈驚魂12小時。

金色財經整理了BNB鏈10月7日被黑客攻擊事件的時間線。

02:26~04:43：黑客從BNBChain“代幣中心”獲200萬枚BNB，并在Venus抵押90萬枚借出約1.475億穩定幣

05:48：Tether已將BNBChain攻擊者地址列入黑名單

06:35：BNBChain：發現漏洞，已暫停網絡運行，正在調查潛在漏洞

07:51：趙長鵬：資金是安全的，BSC跨鏈橋漏洞導致產生額外的BNB

BNBChain攻擊者向以太坊和Fantom共轉移約1億美元，BNBChain受攻擊后BNB一度跌近5%?

09:05~09:29：幣安：計劃與驗證者聯系進行節點升級，具體時間暫未確定

09:45：黑客地址與多個dApp進行過交互，轉移至Avalanche鏈上資產或已凍結

11:30：BNBChain黑客地址當前余額超7億美元，

安全團隊稱：BNBChain黑客布局最早可追溯到10月6日

13:02：BNBChain發布BSCv1.1.15版本，所有節點運營者需升級

14:53：BNBChain：BNBChain網絡已恢復出塊開始恢復運行BNBChain網絡

Tags：BNBBCHBNBCHNBCBNBFAN幣iBCH幣BNBCH幣YTNBchain

USDT