以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > KuCoin > Info

金色觀察 | 安全研究員眼中的BNB Chian跨鏈橋被攻擊事件_BNB

Author:

Time:1900/1/1 0:00:00

10月7日凌晨,黑客利用BNB Chian跨鏈橋BSC Token Hub漏洞,分兩次共盜取200萬枚BNB。據分析,攻擊涉及的總金額超過7億美元,其中包含5.7億美元的BNB。

BNB Chian是如何被攻擊的?黑客盜取金額具體有多少?黑客為何又是選取跨鏈橋攻擊?幣安鏈本身安全嗎?怎么看黑客攻擊后幣安鏈被暫停?被盜資產結局會如何?對社區有何新啟示?

上述問題用戶迫切想知道答案,金色財經就此采訪了區塊鏈安全公司Numen的安全研究員,看看安全研究員眼中的BNB Chian跨鏈橋被攻擊事件是什么樣的。

Q1、10月7日BNB Chian跨鏈橋BSC Token Hub 遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB。請詳細講解一下這次黑客是如何攻擊幣安鏈的? 

金色晨訊 | 3月28日隔夜重要動態一覽:21:00-7:00關鍵詞:世衛組織、中國銀行、甘肅、湖南

1. 世衛組織與IBM等開發基于區塊鏈的冠狀病數據中心;

2. 中國銀行:充分運用區塊鏈等新技術提高科技應用水平;

3. 甘肅14個市州全部完成區塊鏈服務網絡建設;

4. 湖南省人民政府:加快區塊鏈等應用,建設一批智慧農業示范基地;

5. 比特幣鏈上速度超過600%,或即將迎來牛市;

6. 光大銀行2019年度報告:區塊鏈等陸續應用到實際業務中;

7. Tether市值突破60億美元;

8. 北京市將利用區塊鏈推行增值稅電子專用發票等電子票據;

9. BTC現報6653.29美元,日內漲幅0.42%,前十主流幣普漲。[2020/3/28]

Numen:黑客的攻擊行為其實很簡單,首先從changenow.io獲得攻擊所需的成本,然后利用幣安跨鏈橋處理消息驗證的基礎庫的漏洞,兩次偽造提現惡意消息,導致跨鏈橋向黑客地址發送了兩筆BNB,每筆都是100萬個BNB,價值約600M美金。

金色相對論 | 江恩:作為貨幣來說 比特幣的數量是不夠的:在本次金色相對論掌柜調查署上,針對狗狗幣為什么會巨量發行的問題,中國狗狗幣協會會長江恩表示:狗狗幣發行初期就是以貨幣的形態來設計,比特幣總量才2100萬個,做為貨幣來說,明顯是不夠的。

狗狗幣有了第一年1000億,以后每年50億通脹的這個設定,實際上認真去分析,狗狗幣的通脹是越來越小的,比如狗狗幣發行20年后通脹率變成2.5%,40年后變成1.25%,80年后變成0.625%,通脹慢慢減小,反而更適合當貨幣,目前全球的貨幣,都是處在適量通脹的情況。所以狗狗幣是目前幾萬種數字貨幣里,少有的有通脹設計,社區又非常活越的一個幣種。[2019/4/8]

具體黑客如何構造proof以繞過消息驗證的方法我們還在研究,但可以確定的是BNB Chian在跨鏈消息驗證機制方面,使用了cosmos的IAVL庫和Multistoreproof的早期版本代碼,且已經被證明有漏洞存在。

分析 | 金色盤面: BTC/USD短線有上漲需求:金色盤面綜合分析:BTC/USD資金流入增加,短線有上漲需求,建議關注布林帶上軌能否被突破。[2018/8/26]

Q2、這次涉及的金額有說7.1億美元的,也有說5.6億美元的,這個金額到底是多少,該怎么算這個金額?

Numen:5.6億美金是按攻擊被發現時的BNB價格估算,而7.1億或許是在計算了venus的損失后做出的估計。黑客在攻擊完成后,通過venus借貸,抽干了借貸池中的USDT、BUSD、USDC等穩定幣。由于BNB Chain及時做出了響應,采取了暫停節點、黑名單和凍結等措施,已經將直接損失降低到了1億美金左右。

金色財經現場報道 VeChain CEO陸揚:正與寶馬合作 為每輛車提供區塊鏈上的ID:金色財經現場報道,今日在Coindesk 2018共識會議上,VeChain CEO陸揚表示他們正在與寶馬合作開發PoC,為每輛車提供區塊鏈上的唯一ID,讓每個供應商的車輛數據生成保持“1 + 1>2”的效果。品牌是來自消費者的看法,一般來講就是信任,這正是區塊鏈可以提供的。[2018/5/16]

Q3、這一次黑客選擇攻擊的又是跨鏈橋,為何跨鏈橋這么不安全?

Numen:任何有資金池的合約都很容易受到攻擊,因為黑客的直接目的是獲取更多的資金。由于很多跨鏈橋在處理資產跨鏈時采用的是質押機制,所以產生了很多數目可觀的資金池,吸引了黑客的注意。

具體到跨鏈橋的實現邏輯上,跨鏈橋有三種實現方式,公證人、哈希時間鎖和中繼鏈,其中哈希時間鎖機制相對安全,但只能支持資產的轉移,無法實現消息傳遞;中繼鏈實現復雜,通過區塊鏈的共識機制保障安全,其安全問題一般較為底層,黑客較難利用;而現在大部分跨鏈橋所采用的公證人機制,由于存在私鑰管理、消息驗證、合約操作等多個環節出現漏洞的可能性,所以出現了大量的安全事件。

Q4、這個攻擊對幣安鏈有影響嗎?幣安鏈本身是安全的嗎?為什么要暫停幣安鏈? 

Numen:這個攻擊對幣安鏈本身的影響不大,只是一些經濟和品牌損失,幣安鏈在處理完此次攻擊事件后,仍然可以穩定運行,對于主網本身來說,再不涉及到跨鏈驗證的其他層面,由于fork了經過多年驗證的以太坊源碼,所以相對來說是安全的,但是安全圈有句話叫“世界上沒有安全的系統”,所以BNB chain的開發者們仍然不能掉以輕心。

暫停幣安鏈是一個正確的選擇,在底層機制出現問題的時候,應當暫停運行,待查清楚具體問題并修復后和處理完相關賬號和資產后,再重新運行。

Q5、在黑客攻擊成功后,在幣安要求下幣安鏈驗證者暫停了幣安鏈網絡運行,在社區引發不少爭議,怎么看幣安和幣安鏈的這一行為?

Numen:幣安暫停網絡其實是一個負責任的行為,如果繼續運行網絡,那所有BNB chain的生態都會受到重大影響,現在并不是爭論中心化還是去中心化的時候,我們共同的敵人是黑客。

Q6、現在黑客多個地址被拉黑名單或者資產被凍結,各位覺得這次黑客被盜資產結局會如何? 

Numen:已經凍結和被幣安鏈鎖住的資產暫時是安全的,而已經通過跨鏈轉移到ETH、FTM等鏈上的資產,可能難以追回。

Q7、此次幣安跨鏈橋被攻擊和之前的黑客攻擊有何異同?對社區有何新的啟示?

Numen:此次攻擊時針對供應鏈的攻擊,黑客顯然對BNB chain的底層供應鏈比較熟悉,這點在之前的安全事件中比較少見。

對社區的啟發是技術人員應當對自己使用的庫和copy的代碼做到深入的了解,要明白他們的運行機制,并能夠review代碼中的問題,同時應該投入更多的資源在代碼審計上,由專業的第三方安全審計公司來進行多輪的審計,以保障項目的安全。

金色財經Maxwell

Bankless

金色薦讀

FastDaily

中國金融雜志

巴比特資訊

元宇宙之道

Tags:BNB區塊鏈NUMEUMEtogetherbnb更新到哪里了區塊鏈工程好就業嗎NUME價格EthereumeRush

KuCoin
V神:另一個狀態友好的界地址方案_以太坊

來源 | ethresear.ch作者 | Vitalik Buterin譯者按:本文需要讀者對狀態管理和 state expiry 機制作一定了解.

1900/1/1 0:00:00
假期不可錯過的10件大事_HTM

金色財經報道,美國證券交易委員會已對總部位于百慕大的 Arbitrade Ltd 和總部位于加拿大的 Cryptobontix 及其負責人提起指控.

1900/1/1 0:00:00
黑客盜取幣安鏈200萬枚BNB過程全解析_BNB

「事件回顧」幣安鏈遭遇有史以來金額最大的黑客攻擊10月7日凌晨,BNB Chain遭遇了黑客攻擊,攻擊涉及的總金額達到7億美元,其中包含5.7億美元的BNB.

1900/1/1 0:00:00
LUNA vs. LUNC: 哪個是更糟糕的投資

Luna 于2018年推出,最初被開發為 Terra 的第一個本土代幣。他們把它稱為 LUNA.

1900/1/1 0:00:00
中本聰系數會如何影響區塊鏈的健壯性?_區塊鏈

撰文:anormaljourney編譯:0×11,Foresight News就在 2022 年整個世界快速滑落之際,最大的功能型區塊鏈之一宕機了.

1900/1/1 0:00:00
ETH 的稀缺性引擎_ETH

你可能聽過/看過以太坊研究員 Justin Drake 在最近與 Bankless 合作的一個播客系列中談到 ETH 的「稀缺性引擎」.

1900/1/1 0:00:00
ads