区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 火必 > 正文

BNB:金色观察 | BNB链惊魂12小时 七个问题读懂_Wrapped Ordichains

作者:

时间:

BNB Chian是如何被攻击的?黑客盗取金额具体有多少?黑客为何又是选取跨链桥攻击?币安链本身安全吗?怎么看黑客攻击后币安链被暂停?被盗资产结局会如何?对社区有何新启示?

上述问题用户迫切想知道答案,金色财经就此采访了Beosin安全研究专家。

Q1:10月7日BNB Chian跨链桥BSC Token Hub遭遇攻击。黑客利用跨链桥漏洞分两次共获取200万枚BNB。请向我们详细讲解一下这次黑客是如何攻击的?

Beosin:1)攻击者先选取一个提交成功的区块的哈希值(指定块:110217401)

2)然后构造一个攻击载荷,作为验证IAVL树上的叶子节点

3)在IAVL树上添加一个任意的新叶子节点

4)同时,添加一个空白内部节点以满足实现证明

金色热搜榜:BOT居于榜首:根据金色财经排行榜数据显示,过去24小时内,BOT搜索量高居榜首。具体前五名单如下:BOT、APPC、MXC、ZRX、BHD。[2021/2/1 18:36:59]

5)调整第3步中添加的叶子节点,使得计算的根哈希等于第1步中选取的提交成功的正确根哈希

6)最终构造出该特定区块(110217401)的提款证明

Q2:这次涉及的金额有说7.1亿美元的,也有说5.6亿美元的,这个金额到底是多少,该怎么算这个金额?

Beosin:由于涉及的金额较为庞大,并且涉及了多个链之间的跨链,金额不太统一也正常,根据Beosin安全团队的整理与追踪,目前得出的7.1亿美元是币安链上未涉及跨链部分的被盗资产,加上跨链部分的被盗资产,我们初步估计涉及金额在8.5亿美元左右。

金色热搜榜:OMG居于榜首:根据金色财经排行榜数据显示,过去24小时内,OMG搜索量高居榜首。具体前五名单如下:OMG、ANT、TRUE、OKB、SEELE。[2020/10/24]

Q3:这一次黑客选择攻击的又是跨链桥,为何跨链桥这么不安全?

Beosin:由于区块链经过了一段不短的发展时间,无论是区块链项目方自己还是区块链安全公司对于安全的重视程度都高于了以往,因此一些可以使用模板的简单项目往往难以出现漏洞,跨链桥这种代码复杂且含有链下部分的项目就更容易遭受攻击。跨链桥通常都是一些大项目,代码量较多,多个环节的组合下就容易出现一些组合型漏洞,然而这些漏洞又是较为隐蔽的,容易被黑客所利用。跨链桥还有一个高危点就是链下安全,由于链下代码一般与链上代码分开审计,并且通常由项目方自己来保证安全,所以安全公司无法由链上的代码来保证整个项目的安全性。

金色午报 | 10月3日午间重要动态一览:7:00-12:00关键词:美国SEC、数字欧元、BitMEX、Compound

1.美国SEC主席:可能所有股票都能被代币化。

2.欧洲央行将于2021年年中就启动数字欧元项目作出决定。

3.普华永道报告:列支敦士登虚拟货币税收指数排名第一。

4.逾4.5万枚BTC在过去48小时内自BitMEX转出。

5.MicroStrategy首席执行官强调其将长期持有比特币。

6.Compound提案025获批将支持添加UNI代币。

7.武汉成立区块链产业创新发展示范区。

8.Yam Finance明日将为4大提案提交快照。

9.灰度将以太坊向2.0过渡视作潜在风险因素。[2020/10/3]

Q4:这个攻击对币安链有影响吗?币安链本身是安全的吗?为什么要暂停币安链?

Beosin:本次的攻击主要受影响的项目为BNB Chian跨链桥BSC Token Hub,是BNB Chain的预编译合约,因此币安链其他模块没有受到影响,用户自身的资产是安全的,不受此次事件的影响。暂停币安链一方面是为了冻结被盗资金,以防资金被进一步转移,另一方面为了避免潜在的攻击。

分析 | 金色盘面:BTC期货合约持仓变化:金色盘面综合分析:OKEX的BTC期货合约做多账户61%,做空账户38%,多头主力加仓明显;主力多头平均持仓比例为42.2%,主力空头平均持仓比例为14.9%,多头持仓大增。[2018/8/14]

Q5:在黑客攻击成功后,在币安要求下币安链验证者暂停了币安链网络运行,在社区引发不少争议,怎么看币安和币安链的这一行为?

Beosin:币安如果不进行暂停,被盗资金一旦被大规模转移,可能再追回来就比较艰难了,我们认为币安只能选择暂停,尽管会造成很大的影响。

Q6:现在黑客多个地址被拉黑名单或者资产被冻结,这次黑客被盗资产结局会如何?

Beosin:本次攻击获利的大部分资金目前在币安链上已经被冻结,应该没有转移的风险。但是黑客这次在攻击成功的短时间内将不少的资金转移到了多个链上,如果这些链没有进行完全的冻结,这部分资金仍然有被转移的风险。

Q7:此次币安跨链桥被攻击和之前的黑客攻击有何异同?对社区有何新的启示?

Beosin:以往的跨链桥攻击通过线下漏洞或者是私钥泄露等方式的攻击较多,本次攻击通过的构造特定的根哈希来构造出特定区块的提款证明,从而使攻击成立,攻击难度比较大,并且数额较以往来说也比较高。本次事件也提醒了我们漏洞往往就在一些我们想不到的地方,因此只能不断去完善项目安全,比别有用心者更早的去发现这些问题所在,才能够更加维护我们的区块链生态安全。

此外,BNB链在被攻击后约12小时重新恢复运行,堪称BNB链惊魂12小时。

金色财经整理了BNB链10月7日被黑客攻击事件的时间线。

02:26~04:43:黑客从BNB Chain“代币中心”获200万枚BNB,并在Venus抵押90万枚借出约1.475亿稳定币

05:48:Tether已将BNB Chain攻击者地址列入黑名单

06:35:BNB Chain:发现漏洞,已暂停网络运行,正在调查潜在漏洞

07:51:赵长鹏:资金是安全的,BSC跨链桥漏洞导致产生额外的BNB

BNB Chain攻击者向以太坊和Fantom共转移约1亿美元,BNB Chain受攻击后BNB一度跌近5% 

09:05~09:29:币安:计划与验证者联系进行节点升级,具体时间暂未确定

09:45:黑客地址与多个dApp进行过交互,转移至Avalanche链上资产或已冻结

11:30:BNB Chain黑客地址当前余额超7亿美元,

安全团队称:BNB Chain黑客布局最早可追溯到10月6日

13:02:BNB Chain发布BSC v1.1.15版本,所有节点运营者需升级

14:53:BNB Chain:BNB Chain网络已恢复出块开始恢复运行BNB Chain网络

金色新闻汇

区块精灵球

金色早8点

金色财经 子木

Block unicorn

DeFi之道

NFT中文社区

元宇宙之心MetaverseHub

金色财经Maxwell

月饼

-Kyle

金色数藏

标签:BNBCHAHAIChainbnb游戏更新到哪了wealthchainNew XChain TokenWrapped Ordichains

火必热门资讯
区块链:民生银行:打造区块链“三大平台” 助推数字化转型_以太坊

当前,区块链技术日益成为银行业务创新的“标配”。“区块链技术可以帮助银行缓解信息不对称、信任不对称的问题,有助于优化银行管理体系及业务流程.

RCH:THORChain遭遇三连击预示着安全领域的新挑战_rchain币价格

以比特币为首的数字货币诞生以来,其中一个最为人称道的特点就是交易的匿名性:也就是说在这些数字货币的链上交易中,尽管交易发送者和接收者的地址是公开的.

区块链:了解 EVM 本地设计的 Optimistic Rollup 的关键优势_ORCH

几周前,我们宣布了 Specular—一个具有新颖 EVM 本地设计的 Optimistic Rollup—并且很高兴看到我们的 Twitter 线程激发了关于如何最好地设计此类系统的兴奋和讨论.

以太坊:元宇宙时代 游戏基础设施有哪些新机会?_BLO

编译:GameLook 试想,你下载了一款超级热门的跑酷游戏,游戏内角色立即获得了新技能。几分钟的新手教学之后,爬墙并越过障碍物,你准备好了迎接更大的挑战.

区块链:人才缺口超70万 有15所高校新设区块链专业_WEB

据《中国区块链人才教育及发展现状(2020)》显示,区块链人才招聘以开发和销售人才需求最大,占总人数的 62.70%.

MAI:金色观察|Fabric Ventures:我们为何领投EtherMail_PolkaDomain

Fabric Ventures近日宣布领投Web3电子邮件解决方案EtherMail300万美元种子轮融资.