EOS:Beosin：BSC Token Hub 用于验证 IAVL 树的方式存在漏洞，允许攻击者伪造信息_SIN币

ForesightNews消息，据BeosinEagleEye平台监测显示，BSCTokenHub10月7日遭遇黑客攻击，Beosin安全团队现将手法解析如下：币安跨链桥BSCTokenHub在进行跨链交易验证时，使用了一个特殊的预编译合约用于验证IAVL树。而该实现方式存在漏洞，该漏洞可能允许攻击者伪造任意消息。1）攻击者先选取一个提交成功的区块的哈希值2）然后构造一个攻击载荷，作为验证IAVL树上的叶子节点3）在IAVL树上添加一个任意的新叶子节点4）同时，添加一个空白内部节点以满足实现证明5）调整第3步中添加的叶子节点，使得计算的根哈希等于第1步中选取的提交成功的正确根哈希6）最终构造出该特定区块的提款证明据Beosin安全团队统计，总计有1.435亿美元的被盗资金通过跨链进行转移，通过跨链转移的资金约被盗资金中有7739万美元的资金通过各种跨链转入了以太坊，5896万美元的资金留存在FTM链中，400万美元的资金在Arbitrum链中，172万美元的资金在Avalanche链中，40万美元的资金在Polygon和110万美元在Optimism。BeosinTrace正在对被盗资金进行实时追踪。

Beosin：ETH链上SCO项目Rug Pull:金色财经报道，区块链安全审计公司Beosin旗下Beosin?EagleEye安全风险监控、预警与阻断平台监测显示，ETH链上SCO项目Rug Pull，获利90ETH，约17万美元。[2023/7/21 15:50:12]

Beosin：Jumpnfinance项目发生Rugpull，涉及金额约115万美元:金色财经报道，据Beosin EagleEye平台监测显示，Jumpnfinance项目Rugpull。攻击交易为0x48333962e6e946748a26d6222db95ce97e76c9ed3917123a7c9f2731f896b72c。Beosin安全团队分析发现攻击者首先调用0xe156合约的0x6b1d9018()函数，提取了该合约中的用户资产，存放在攻击者地址上（0xd3de02b1af100217a4bc9b45d70ff2a5c1816982）。目前被盗资金中2100 BNB ($581,700)已转入Tornado.Cash，剩余部分2,058 BNB（$571,128）还存放在攻击者地址，Beosin安全团队将持续跟踪。Beosin Trace将对被盗资金进行持续追踪。[2022/10/10 12:51:13]

Beosin：Gnosis Omni Bridge跨链桥项目存在合约层面的重放漏洞:金色财经报道，Beosin 安全团队发现，在以太坊合并并分叉出 ETHW 后，Gnosis Omni Bridge跨链桥项目，由于合约代码中固定写死了chainID，而未真正验证当前所在链的chainID，导致合约在验证签名时能够在分叉链上验证通过。攻击者首先在 ETH 主网上通过omni Bridge 转移 WETH，随后将相同的交易内容在 ETHW 链上进行了重放，获取了等额的 ETHW。目前攻击者已经转移了 741 ETHW 到交易所。

Beosin 安全团队建议如果项目方合约里面预设了chainID，请先手动将chainId更新，即使项目方决定不支持ETHW，但是由于无法彻底隔绝通过跨链桥之间的资产流动，建议都在ETHW链上更新。[2022/9/19 7:04:46]

标签：EOSSINETHETHWeosdac币有发展前景吗SIN币ethereum中文翻译ethw币有前景吗

ICP热门资讯