木星链 木星链
Ctrl+D收藏木星链

BNB:金色观察 | 安全研究员眼中的BNB Chian跨链桥被攻击事件

作者:

时间:1900/1/1 0:00:00

10月7日凌晨,黑客利用BNB Chian跨链桥BSC Token Hub漏洞,分两次共盗取200万枚BNB。据分析,攻击涉及的总金额超过7亿美元,其中包含5.7亿美元的BNB。

BNB Chian是如何被攻击的?黑客盗取金额具体有多少?黑客为何又是选取跨链桥攻击?币安链本身安全吗?怎么看黑客攻击后币安链被暂停?被盗资产结局会如何?对社区有何新启示?

上述问题用户迫切想知道答案,金色财经就此采访了区块链安全公司Numen的安全研究员,看看安全研究员眼中的BNB Chian跨链桥被攻击事件是什么样的。

Q1、10月7日BNB Chian跨链桥BSC Token Hub 遭遇攻击。黑客利用跨链桥漏洞分两次共获取200万枚BNB。请详细讲解一下这次黑客是如何攻击币安链的? 

金色数藏META官网今日正式上线Beta测试版:据官方消息,金色数藏META官网于今日正式上线Beta测试版,并将于今天下午5:20开启西施限量数字藏品免费抢活动,点击原文链接查看领取教程。

据悉,金色数藏META是由金色财经孵化、依托腾讯至信链的数字艺术文化收藏平台。[2022/5/20 3:31:00]

Numen:黑客的攻击行为其实很简单,首先从changenow.io获得攻击所需的成本,然后利用币安跨链桥处理消息验证的基础库的漏洞,两次伪造提现恶意消息,导致跨链桥向黑客地址发送了两笔BNB,每笔都是100万个BNB,价值约600M美金。

具体黑客如何构造proof以绕过消息验证的方法我们还在研究,但可以确定的是BNB Chian在跨链消息验证机制方面,使用了cosmos的IAVL库和Multistoreproof的早期版本代码,且已经被证明有漏洞存在。

金色财经虎年开新礼活动进行中,已累计发放12枚ETH:在1月27日“金色财经虎年开新礼”活动中,又有三个中奖幸运号码获得ETH大礼,分别为:9759644767;1062675702;8168844294。截止到1月30日,金色财经将送上更多虎年开年礼。解锁更多活动详情可点击原文链接。[2022/1/28 9:19:06]

Q2、这次涉及的金额有说7.1亿美元的,也有说5.6亿美元的,这个金额到底是多少,该怎么算这个金额?

Numen:5.6亿美金是按攻击被发现时的BNB价格估算,而7.1亿或许是在计算了venus的损失后做出的估计。黑客在攻击完成后,通过venus借贷,抽干了借贷池中的USDT、BUSD、USDC等稳定币。由于BNB Chain及时做出了响应,采取了暂停节点、黑名单和冻结等措施,已经将直接损失降低到了1亿美金左右。

金色独家 食链foodc创始人刘源:应对世界杯“假票门” 区块链可编码防破译:目前世界杯正热,针对近日爆出的门票造假事件,金色财经独家专访了食链foodc创始人刘源。针对门票防伪,区块链技术拥有明显优势。刘源表示:门票的防伪,首先要防范票造假,实际上就是标签防伪,现在主要通过印刷时按照一定的算法印一些花线在上面,类似于身份证花纹防伪技术;另一方面,是防止票编码造假,防止有人反推出票据的生成算法,从而伪造票编码,这个技术就是产品身份识别的技术,防止算法别破译。区块链门票的防伪,主要是应用在票编码防破译这块,使用区块链的加密算法把票编码存储进链,实现票编码算法无法破译。

区块链在实现防伪溯源方面相对于传统防伪手段有哪些优势呢?刘源说,区块链防伪的技术的应用中,使用区块链技术对产品身份进行加密存储,一方面利用共识机制达到不可篡改的效果,另一方面,数据在存储时可使用以太坊的ECDSA算法进行签名加密,会经过约8个步骤,并进行了多次消息摘要算法加密,确保在未来产生量子计算机时也不能被破译,从而做到身份识别的唯一和防伪特性。[2018/6/19]

Q3、这一次黑客选择攻击的又是跨链桥,为何跨链桥这么不安全?

金色财经讯:迪拜正式推出官方加密货币“emCash”,成为全球首举。该货币将被用于支付政府和非政府服务费用,未来还可能向整个阿联酋推广。政府非常支持区块链发展,并将其视为下一波技术变革的主力。[2017/10/4]

Numen:任何有资金池的合约都很容易受到攻击,因为黑客的直接目的是获取更多的资金。由于很多跨链桥在处理资产跨链时采用的是质押机制,所以产生了很多数目可观的资金池,吸引了黑客的注意。

具体到跨链桥的实现逻辑上,跨链桥有三种实现方式,公证人、哈希时间锁和中继链,其中哈希时间锁机制相对安全,但只能支持资产的转移,无法实现消息传递;中继链实现复杂,通过区块链的共识机制保障安全,其安全问题一般较为底层,黑客较难利用;而现在大部分跨链桥所采用的公证人机制,由于存在私钥管理、消息验证、合约操作等多个环节出现漏洞的可能性,所以出现了大量的安全事件。

Q4、这个攻击对币安链有影响吗?币安链本身是安全的吗?为什么要暂停币安链? 

Numen:这个攻击对币安链本身的影响不大,只是一些经济和品牌损失,币安链在处理完此次攻击事件后,仍然可以稳定运行,对于主网本身来说,再不涉及到跨链验证的其他层面,由于fork了经过多年验证的以太坊源码,所以相对来说是安全的,但是安全圈有句话叫“世界上没有安全的系统”,所以BNB chain的开发者们仍然不能掉以轻心。

暂停币安链是一个正确的选择,在底层机制出现问题的时候,应当暂停运行,待查清楚具体问题并修复后和处理完相关账号和资产后,再重新运行。

Q5、在黑客攻击成功后,在币安要求下币安链验证者暂停了币安链网络运行,在社区引发不少争议,怎么看币安和币安链的这一行为?

Numen:币安暂停网络其实是一个负责任的行为,如果继续运行网络,那所有BNB chain的生态都会受到重大影响,现在并不是争论中心化还是去中心化的时候,我们共同的敌人是黑客。

Q6、现在黑客多个地址被拉黑名单或者资产被冻结,各位觉得这次黑客被盗资产结局会如何? 

Numen:已经冻结和被币安链锁住的资产暂时是安全的,而已经通过跨链转移到ETH、FTM等链上的资产,可能难以追回。

Q7、此次币安跨链桥被攻击和之前的黑客攻击有何异同?对社区有何新的启示?

Numen:此次攻击时针对供应链的攻击,黑客显然对BNB chain的底层供应链比较熟悉,这点在之前的安全事件中比较少见。

对社区的启发是技术人员应当对自己使用的库和copy的代码做到深入的了解,要明白他们的运行机制,并能够review代码中的问题,同时应该投入更多的资源在代码审计上,由专业的第三方安全审计公司来进行多轮的审计,以保障项目的安全。

金色财经Maxwell

Bankless

金色荐读

FastDaily

中国金融杂志

巴比特资讯

元宇宙之道

标签:BNB区块链UMENUMEbnb音响与美国C牌什么叫做区块链技术UMEfinanceNUME币

抹茶交易所热门资讯
以太坊:分析:以太坊的合并后经济学

原文标题:Ethereum’s Post-Merge Economics — Is ETH Deflationary? On-Chain Analytics.

1900/1/1 0:00:00
以太坊:伟大的加密货币反转:以太坊能超越比特币吗?

Nigel Green在8月中旬宣称:“以太坊登上加密领域的顶峰似乎势不可挡。”不难看出为什么这位deVere首席执行官会这么想.

1900/1/1 0:00:00
Tap:Taproot激活前瞻 一文了解Bitcoiner该做什么

Taproot激活时会发生什么?在这篇文章发布后不到两周的时间,Taproot将于区块高度达到709,632时在比特币网络激活,关于它的期待点,我们已经有所了解,而现在.

1900/1/1 0:00:00
加密货币:如何构建加密银行系统?

这篇文章探讨在DeFi上构建金融系统所需的基础。尽管DeFi领域有诸多创新,它们中的大部分都是在重复投机。我们今天讨论构建有效金融体系所需的必要部件,能为实体经济提供资金.

1900/1/1 0:00:00
NFT:2022 NFT大盘回顾与前瞻 谁能杀出重围

01据NFT数据分析平台NFTGO数据,最近一年来,NFT总市值在2022年2月22日、3月30日两次见顶,分别达到35.3B USD和35.5B USD,随后陷入下跌调整期.

1900/1/1 0:00:00
NFT:NFT交易市场的后起之秀要如何超越 OpenSea?

直到 2021 年末,OpenSea 一直都是? NFT 交易市场的垄断者。但 2022 年初,随着 2022 年 1 月 LooksRare 和 2022 年 2 月 X2Y2 的推出,Ope.

1900/1/1 0:00:00