BNB:被盗1亿美元的Harmony 验证者节点安全如何保障？

2022年6月24日，成都链安链必应-区块链安全态势感知平台舆情监测显示，由Layer1公链Harmony开发的以太坊与Harmony间的资产跨链桥Horizon遭到攻击，损失金额约为1亿美元。目前Harmony官方已通知交易所并暂停了Horizon跨链桥。成都链安安全团队对此事件进行了分析，现与大家分享。

HarmonyBridge是一个跨链桥项目，由五个验证者节点进行操作验证，本次攻击主要原因是由于两个验证者节点的私钥疑似泄露，导致合约的confirmTransaction函数被成功调用。

彭博分析师：Global X ETFs与CoinDesk申请推出比特币趋势策略ETF:金色财经报道，彭博分析师James Seyffart发布推文称，Global X ETFs与CoinDesk正在申请推出比特币趋势策略ETF，将使用趋势跟踪指标来对比特币期货进行战术/动态处理。潜在生效日期大概为10/3/2024。Seyffart解释称，该产品不属于现货ETF，因与所有已批准ETF的流程相同，将会获得批准。[2023/7/22 15:51:41]

Venus Protocol更新：BNB Chain将独家接管BNB Bridge攻击者的仓位:6月12日消息，BNB Chain上借贷协议Venus Protocol刚刚删除了“若BNB达清算门槛，BNB Chain将接管平台BNB头寸 ”的推文，并修改了措辞，称“2022年11月，BNB Chain提交了一份由社区通过的治理提案，将BNB Bridge攻击者的仓位独家清算给BNB Chain核心团队，目的是确保挪用资产的安全，防止任何进一步影响和出售清算。列入白名单的钱包最初由3000万美元的USDT提供资金，以确保防止Venus损失并通过此Venus治理批准机制提供额外支持。”

此前HashDit表示，BNB Bridge攻击者在Venus平台的924,821枚BNB(约249万美元) 存款面临清算，此次Venus Protocol发布的更新系对此言论的回应。[2023/6/12 21:31:39]

#攻击过程

万事达高管：若区块链技术解决安全性和互操作性问题，将为金融业带来更多价值:5月25日消息，万事达(Mastercard)执行副总裁兼加密和区块链负责人Raj Dhamod表示，公司坚信一旦加密货币和区块链技术能够解决安全性和互操作性等关键问题，它就能为金融业带来更多价值。

Dhamodharan表示，加密货币和区块链技术在全球范围内日益受到关注，但由于缺乏全面的安全性和复杂的用户交互，它们的用例目前受到限制；一旦这些问题得到解决，品牌和公司就会更有信心参与Web3行业；大多数人将加密货币视为一种投资机会，但技术本身有很多希望，而不仅仅是一种转移和储存资本的好方法。[2023/5/25 10:38:59]

攻击者地址：

0x0d043128146654C7683Fbf30ac98D7B2285DeD00

V神预测2023年加密货币的3个“巨大”机会：包括加密钱包的普及等:12月20日消息，以太坊创始人Vitalik Buterin在接受Bankless共同所有者David Hoffman的采访时，分享了2023年加密行业的展望，预测加密领域尚未实现的三个“巨大”机会，包括加密钱包的普及、抗通胀稳定币和以太坊支持的网站登录。同时回应了关于“去中心化应用程序的‘采用浪潮’现在已经结束，开发人员进入并构建新的去中心化应用程序的机会更少’”。

首先，V神建议，在加密货币钱包基础设施上进行更多的开发，以使其更易于日常使用，并确保它能够登陆数十亿用户。

其次，V神表示，开发一种能够抵御所有类型条件（包括链上和更广泛的宏观经济）的抗恶性通货膨胀和全球可访问的稳定币将是该行业的一场革命。

最后，V神表示，任何有助于以太坊从Facebook、谷歌、推特和其他中心化垄断企业手中夺走登录权的技术发展，最终都会使以太坊在基于互联网的应用程序上获得更多的市场主导地位。

此外，V神还表示，由于竞争加剧和市场成熟，填补市场空白的机会变得不那么明显。（Cointelegraph）[2022/12/20 21:55:50]

私钥疑似泄露地址：

Prometheus International 推出首个NFT相关的地产项目:金色财经报道，首家接受加密货币付款的房地产企业Prometheus International刚刚宣布了一个新项目。Prometheus正在开发一项新计划，即皇家街区别墅。该项目与欧洲一些最杰出的数字影响者、加密资产机构和加密货币领域的专家合作创建的，其中包括Myoo #810，Cyber kongz的创建者，这是一个NFT项目，已产生超过2亿美元的交易。

Prometheus International 创始人兼首席执行官 Priyesh Patel表示，皇家街区住宅结合了区块链革命的两个方面：这些别墅将在区块链上全面运作，从智能家居功能到与许可、权益、租金、费用、访问、支付记录等有关的方面。

此外，NFT房产对应的是The Royal Blockhouse房产，建筑地点将由第一位NFT业主选择。Prometheus将与客户一起访问所选地点，豪宅将在商定的地点建造。皇家街区住宅还将与Cyberkongz合作，在未来的元宇宙 KONG CITY中作为活动空间和住房。[2022/7/6 1:55:07]

0xf845A7ee8477AD1FB4446651E548901a2635A915

0x812d8622C6F3c45959439e7ede3C580dA06f8f25

被攻击合约：

0x715cdda5e9ad30a0ced14940f9997ee611496de6

示例哈希：

0x6e5251068aa99613366fd707f3ed99ce1cb7ffdea05b94568e6af4f460cecd65

被攻击的transactionId:21106-21118(eth),120515-120518(bsc)

私钥泄露地址0x812d......8f25地址调用了0x715c......6de6合约的confirmTransaction函数进行操作验证，此处我们以被攻击的transactionId：21107进行分析。

可以发现在本次交易中，isConfirmed的验证返回为true。

但是我们在合约中进行验证者节点查询会发现，虽然owner有五个，但是仅有两名验证者进行了验证。

攻击者就利用这两个验证者节点成功使用external_call获取了相应的代币，并反复利用此攻击来获利。

后续项目方通过transactionId为21126的交易将验证者节点confirm通过的数量从2改为了4。

#资金追踪

本次攻击事件以太坊上损失了85,867个ETH，990个AAVE和78,500,000个AAG，BSC上损失了5,000个BNB和640,000个BUSD，共计约100,428,116美元，目前被盗资金还保存在攻击者地址。成都链安将用链必追对被盗资金进行持续追踪。

#事件总结

这次攻击事件中，攻击者利用了验证者节点验证通过需求数量较少的情况，利用两个验证者节点从而盗取了上亿美金的资产。建议项目方在设计验证者节点验证数量需求尽量选择较多节点，并且做好验证者节点的节点安全。此外建议项目上线前选择专业的安全审计公司进行全面的安全审计，规避安全风险。

来源：金色财经

标签：BNBIONPRO区块链TOGETHERBnB游戏Bob LION Inupropy币是什么币区块链工程专业学什么

莱特币价格热门资讯