BNB:金色观察 | BNB链惊魂12小时 七个问题读懂

10月7日凌晨，黑客利用BNBChian跨链桥BSCTokenHub漏洞，分两次共盗取200万枚BNB。据分析，攻击涉及的总金额超过7亿美元，其中包含5.7亿美元的BNB。

BNBChian是如何被攻击的？黑客盗取金额具体有多少？黑客为何又是选取跨链桥攻击？币安链本身安全吗？怎么看黑客攻击后币安链被暂停？被盗资产结局会如何？对社区有何新启示？

上述问题用户迫切想知道答案，金色财经就此采访了Beosin安全研究专家。

七个问题带你读懂BNB链被攻击事件

Q1：10月7日BNBChian跨链桥BSCTokenHub遭遇攻击。黑客利用跨链桥漏洞分两次共获取200万枚BNB。请向我们详细讲解一下这次黑客是如何攻击的?

Beosin：1）攻击者先选取一个提交成功的区块的哈希值

金色财经合约行情分析 | BTC出现短时上下插针，多空博弈加剧:据火币BTC永续合约行情显示，截至今日16:00（GMT+8），BTC价格暂报9684美元（-0.48%），20:00（GMT+8）结算资金费率为0.010000%。

BTC长时间呈现低波动行情，今日上午8点出现短时400美元的震荡，目前维持在9600美元上方盘整。根据火币交割合约数据，BTC季度合约成交额出现一定幅度降低，持仓量出现稳定，精英多头占比稳定，季度合约升水略减。市场多空双方正积蓄力量，情绪变得敏感，博弈加剧。

USDT于火币全球站OTC的报价为7.04元，溢价率为-0.72 %。[2020/6/9]

2）然后构造一个攻击载荷，作为验证IAVL树上的叶子节点

3）在IAVL树上添加一个任意的新叶子节点

金色午报 | 3月9日午间重要动态一览:7:00-12:00关键词：比特币、安徽金管局、关机价、暴跌

1. 安徽金管局：近日发现不法分子炒作“区块链”等概念非法集资。

2. 比特币算力达到122.1EH/s S9系列矿机再次达到关机价格。

3. 股市普跌 黄金期货小幅上涨站上1700美元。

4. USDT溢价率攀升至3.13%。

5. “比特币下跌”登微博热搜榜 现排名42位。

6. 分析：新冠病、Plustoken涉案地址抛售等导致了BTC周末暴跌。

7. The Block研究总监称赵长鹏参与Steem投票“不负责任”。

8. 2020胡润全球少壮派白手起家富豪榜：徐明星、李林上榜。

9. BTC现报8041美元，日内跌幅4.29%，当前市值1474亿美元。[2020/3/9]

4）同时，添加一个空白内部节点以满足实现证明

独家 | 金色财经2月14日矿币收益播报:金色财经报道，据币印矿池数据显示：

主流币挖矿日收益分别为：BTC（￥1.18/T）、ZEC（￥0.55/T）、LTC（￥24.71/G）、BSV（￥1.22/T）、BCH（￥1.15/T）、DASH（￥0.20/G）。

当前热门矿机数据及净收益分别为：芯动T3+（BTC，￥35.13）、芯动A9（ZEC，￥21.87）、蚂蚁L3+（LTC，￥4.47）。[2020/2/14]

5）调整第3步中添加的叶子节点，使得计算的根哈希等于第1步中选取的提交成功的正确根哈希

6）最终构造出该特定区块的提款证明

Q2：这次涉及的金额有说7.1亿美元的，也有说5.6亿美元的，这个金额到底是多少，该怎么算这个金额？

金色财经独家分析 区块链部分改变生产关系:前华为首席技术官、美国分布式商业应用公司CEO黄连金近访谈类节目中指出区块链不仅是生产关系生产力的属性，让人们更全面地认识区块链对于经济的改变。金色财经独家分析，其实人们一般所认为区块链对于生产关系的改变也是部分的，是一种优化。生产关系是经济中的社会关系，不仅包括人在经济中的地位和相互关系，还包括生产所有制形式和其所决定的分配形式。这其中所有制形式是根本的。我们知道区块链可能会消除许多中间环节，削弱中心的力量，是人们更加平均，公司制、股份制也许今后将被区块链所构建的社区所代替，然而这一切更多的是在人与人之间经济地位和相互关系上的改进优化，考虑到影响所有制涉更加深层次的因素，区块链更多的知识在生产力、生产关系上进行优化。那么，如何才能改变生产关系，如消除资本主义私有制，要看区块链在生产力方面能发挥多大的能量，毕竟，生产力可以决定生产关系。[2018/4/16]

Beosin：由于涉及的金额较为庞大，并且涉及了多个链之间的跨链，金额不太统一也正常，根据Beosin安全团队的整理与追踪，目前得出的7.1亿美元是币安链上未涉及跨链部分的被盗资产，加上跨链部分的被盗资产，我们初步估计涉及金额在8.5亿美元左右。

Q3：这一次黑客选择攻击的又是跨链桥，为何跨链桥这么不安全?

Beosin：由于区块链经过了一段不短的发展时间，无论是区块链项目方自己还是区块链安全公司对于安全的重视程度都高于了以往，因此一些可以使用模板的简单项目往往难以出现漏洞，跨链桥这种代码复杂且含有链下部分的项目就更容易遭受攻击。跨链桥通常都是一些大项目，代码量较多，多个环节的组合下就容易出现一些组合型漏洞，然而这些漏洞又是较为隐蔽的，容易被黑客所利用。跨链桥还有一个高危点就是链下安全，由于链下代码一般与链上代码分开审计，并且通常由项目方自己来保证安全，所以安全公司无法由链上的代码来保证整个项目的安全性。

Q4：这个攻击对币安链有影响吗?币安链本身是安全的吗?为什么要暂停币安链?

Beosin：本次的攻击主要受影响的项目为BNBChian跨链桥BSCTokenHub，是BNBChain的预编译合约，因此币安链其他模块没有受到影响，用户自身的资产是安全的，不受此次事件的影响。暂停币安链一方面是为了冻结被盗资金，以防资金被进一步转移，另一方面为了避免潜在的攻击。

Q5：在黑客攻击成功后，在币安要求下币安链验证者暂停了币安链网络运行，在社区引发不少争议，怎么看币安和币安链的这一行为?

Beosin：币安如果不进行暂停，被盗资金一旦被大规模转移，可能再追回来就比较艰难了，我们认为币安只能选择暂停，尽管会造成很大的影响。

Q6：现在黑客多个地址被拉黑名单或者资产被冻结，这次黑客被盗资产结局会如何?

Beosin：本次攻击获利的大部分资金目前在币安链上已经被冻结，应该没有转移的风险。但是黑客这次在攻击成功的短时间内将不少的资金转移到了多个链上，如果这些链没有进行完全的冻结，这部分资金仍然有被转移的风险。

Q7：此次币安跨链桥被攻击和之前的黑客攻击有何异同?对社区有何新的启示?

Beosin：以往的跨链桥攻击通过线下漏洞或者是私钥泄露等方式的攻击较多，本次攻击通过的构造特定的根哈希来构造出特定区块的提款证明，从而使攻击成立，攻击难度比较大，并且数额较以往来说也比较高。本次事件也提醒了我们漏洞往往就在一些我们想不到的地方，因此只能不断去完善项目安全，比别有用心者更早的去发现这些问题所在，才能够更加维护我们的区块链生态安全。

BNB链惊魂12小时

此外，BNB链在被攻击后约12小时重新恢复运行，堪称BNB链惊魂12小时。

金色财经整理了BNB链10月7日被黑客攻击事件的时间线。

02:26~04:43：黑客从BNBChain“代币中心”获200万枚BNB，并在Venus抵押90万枚借出约1.475亿稳定币

05:48：Tether已将BNBChain攻击者地址列入黑名单

06:35：BNBChain：发现漏洞，已暂停网络运行，正在调查潜在漏洞

07:51：赵长鹏：资金是安全的，BSC跨链桥漏洞导致产生额外的BNB

BNBChain攻击者向以太坊和Fantom共转移约1亿美元，BNBChain受攻击后BNB一度跌近5%?

09:05~09:29：币安：计划与验证者联系进行节点升级，具体时间暂未确定

09:45：黑客地址与多个dApp进行过交互，转移至Avalanche链上资产或已冻结

11:30：BNBChain黑客地址当前余额超7亿美元，

安全团队称：BNBChain黑客布局最早可追溯到10月6日

13:02：BNBChain发布BSCv1.1.15版本，所有节点运营者需升级

14:53：BNBChain：BNBChain网络已恢复出块开始恢复运行BNBChain网络

标签：BNBBCHNBCBNBCHbnb能涨到一万吗BCHK币qinbchainBNBCH币

以太坊交易热门资讯