10月7日凌晨,黑客利用BNB Chian跨链桥BSC Token Hub漏洞,分两次共盗取200万枚BNB。据分析,攻击涉及的总金额超过7亿美元,其中包含5.7亿美元的BNB。
BNB Chian是如何被攻击的?黑客盗取金额具体有多少?黑客为何又是选取跨链桥攻击?币安链本身安全吗?怎么看黑客攻击后币安链被暂停?被盗资产结局会如何?对社区有何新启示?
上述问题用户迫切想知道答案,金色财经就此采访了区块链安全公司Numen的安全研究员,看看安全研究员眼中的BNB Chian跨链桥被攻击事件是什么样的。
Q1、10月7日BNB Chian跨链桥BSC Token Hub 遭遇攻击。黑客利用跨链桥漏洞分两次共获取200万枚BNB。请详细讲解一下这次黑客是如何攻击币安链的?
金色财经合约行情播报 | BTC温和上涨,市场活跃度进一步加强:据火币BTC永续合约行情显示,截至今日16:00(GMT+8),BTC价格暂报7955美元(3.12%),20:00(GMT+8)结算资金费率为0.007594%。
昨日晚上,BTC在接近7800美元的位置做窄幅震荡后,于今日上午9点开始温和放量向上突破,目前靠近8000美元。根据火币交割合约数据,BTC季度合约成交量涨幅接近30%,持仓量一整天出现持续的上升,季度合约仍保持小幅贴水,但已收窄。各个币种的市场活跃性逐渐激活,不少走出比比特币更高的涨幅。从市场结构看,此次上涨较为温和,衍生品市场合约的费率并没有出现大幅的升水。
USDT于火币全球站OTC的报价为7.09元,溢价率为0.29%。USDT溢价持续下降。[2020/4/29]
Numen:黑客的攻击行为其实很简单,首先从changenow.io获得攻击所需的成本,然后利用币安跨链桥处理消息验证的基础库的漏洞,两次伪造提现恶意消息,导致跨链桥向黑客地址发送了两笔BNB,每笔都是100万个BNB,价值约600M美金。
金色晨讯 | 比特大陆披露招股说明书 乌克兰考虑推出国有数字货币:1.中国检验检疫学会发布质量链,茅台格力等加盟。
2.美国联邦法官:虚拟货币符合“商品”的定义,属于美国衍生品监管机构的管辖范围。
3.乌克兰国家银行考虑推出与法币挂钩的国有数字货币。
4.Bitfinex推出EOSfinex交易所测试版。
5.Ripple正与纳斯达克就上线其加密交易所谈判。
6.比特大陆在港交所披露招股说明书;搜狗创始人王小川担任其独立非执行董事。
7.高盛投资的加密货币平台Circle推出美元稳定币USDC。
8.慢雾安全团队发布门罗币攻击严重漏洞预警。
9.保时捷考虑使用区块链技术管理财务账户和合同。[2018/9/27]
具体黑客如何构造proof以绕过消息验证的方法我们还在研究,但可以确定的是BNB Chian在跨链消息验证机制方面,使用了cosmos的IAVL库和Multistoreproof的早期版本代码,且已经被证明有漏洞存在。
分析 | 金色盘面:FGI恐慌指数 14 市场极度恐慌:金色盘面综合分析:经过连续两日的价格暴跌,9月6日FGI恐慌指数下降至14,达到近5个月内的最低值,市场极度恐慌。在BTC出现深幅调整的情况下,市场整体跟随走低,投资者情绪也受到很大影响。短期来看,请投资者理性看待市场震荡,做好风险控制。[2018/9/7]
Q2、这次涉及的金额有说7.1亿美元的,也有说5.6亿美元的,这个金额到底是多少,该怎么算这个金额?
Numen:5.6亿美金是按攻击被发现时的BNB价格估算,而7.1亿或许是在计算了venus的损失后做出的估计。黑客在攻击完成后,通过venus借贷,抽干了借贷池中的USDT、BUSD、USDC等稳定币。由于BNB Chain及时做出了响应,采取了暂停节点、黑名单和冻结等措施,已经将直接损失降低到了1亿美金左右。
金色财经讯:比特币价格突破 ¥95000,创历史新高,数据来自韩国交易所Bithumb。[2017/12/6]
Q3、这一次黑客选择攻击的又是跨链桥,为何跨链桥这么不安全?
Numen:任何有资金池的合约都很容易受到攻击,因为黑客的直接目的是获取更多的资金。由于很多跨链桥在处理资产跨链时采用的是质押机制,所以产生了很多数目可观的资金池,吸引了黑客的注意。
具体到跨链桥的实现逻辑上,跨链桥有三种实现方式,公证人、哈希时间锁和中继链,其中哈希时间锁机制相对安全,但只能支持资产的转移,无法实现消息传递;中继链实现复杂,通过区块链的共识机制保障安全,其安全问题一般较为底层,黑客较难利用;而现在大部分跨链桥所采用的公证人机制,由于存在私钥管理、消息验证、合约操作等多个环节出现漏洞的可能性,所以出现了大量的安全事件。
Q4、这个攻击对币安链有影响吗?币安链本身是安全的吗?为什么要暂停币安链?
Numen:这个攻击对币安链本身的影响不大,只是一些经济和品牌损失,币安链在处理完此次攻击事件后,仍然可以稳定运行,对于主网本身来说,再不涉及到跨链验证的其他层面,由于fork了经过多年验证的以太坊源码,所以相对来说是安全的,但是安全圈有句话叫“世界上没有安全的系统”,所以BNB chain的开发者们仍然不能掉以轻心。
暂停币安链是一个正确的选择,在底层机制出现问题的时候,应当暂停运行,待查清楚具体问题并修复后和处理完相关账号和资产后,再重新运行。
Q5、在黑客攻击成功后,在币安要求下币安链验证者暂停了币安链网络运行,在社区引发不少争议,怎么看币安和币安链的这一行为?
Numen:币安暂停网络其实是一个负责任的行为,如果继续运行网络,那所有BNB chain的生态都会受到重大影响,现在并不是争论中心化还是去中心化的时候,我们共同的敌人是黑客。
Q6、现在黑客多个地址被拉黑名单或者资产被冻结,各位觉得这次黑客被盗资产结局会如何?
Numen:已经冻结和被币安链锁住的资产暂时是安全的,而已经通过跨链转移到ETH、FTM等链上的资产,可能难以追回。
Q7、此次币安跨链桥被攻击和之前的黑客攻击有何异同?对社区有何新的启示?
Numen:此次攻击时针对供应链的攻击,黑客显然对BNB chain的底层供应链比较熟悉,这点在之前的安全事件中比较少见。
对社区的启发是技术人员应当对自己使用的库和copy的代码做到深入的了解,要明白他们的运行机制,并能够review代码中的问题,同时应该投入更多的资源在代码审计上,由专业的第三方安全审计公司来进行多轮的审计,以保障项目的安全。
金色财经Maxwell
Bankless
金色荐读
FastDaily
中国金融杂志
巴比特资讯
元宇宙之道
加密世界的焦点经历了比特币、以太坊、DeFi、NFT、元宇宙和Web3的多次变迁,唯独缺少对加密技术本身的关注,除了比特币的椭圆曲线加密算法(ECC)还算有一点大众认知度.
金色财经报道,Huobi Global今天宣布,Huobi Global控股股东公司已向百域资本旗下基金转让所持有的全部Huobi Global股份.
北京时间2022年10月7日,据成都链安鹰眼-区块链安全态势感知平台舆情监测显示,BNB Chain跨链桥“代币中心”(Token Hub)遭遇黑客攻击,由于涉及的金额较为庞大.
当区块链行业的发展进入到深水区,它的底层的驱动力同样正在发生着一场深刻变革。以往,提及区块链,我们首先想到的是,如何借助创新的商业模式来引发资本市场的关注,继而借助资本的力量发展;现在,提及区块.
“42” 出自科幻圣经《银河系漫游指南》一台名叫?Deep Thought?的超级电脑 经过750万年计算 得出以下答案 生命、宇宙与一切的终极答案是 “42” 42.
▌德克萨斯州比特币矿工面临立法者的审查金色财经报道,美国立法者们正在向德克萨斯州电力可靠性委员会(一个负责运营孤星州电网的组织)寻求有关过去六年采矿业所消耗的电力的信息.