月亮链 月亮链
Ctrl+D收藏月亮链

BNB:金色观察 | 安全研究员眼中的BNB Chian跨链桥被攻击事件_bnb是什么公司

作者:

时间:1900/1/1 0:00:00

10月7日凌晨,黑客利用BNB Chian跨链桥BSC Token Hub漏洞,分两次共盗取200万枚BNB。据分析,攻击涉及的总金额超过7亿美元,其中包含5.7亿美元的BNB。

BNB Chian是如何被攻击的?黑客盗取金额具体有多少?黑客为何又是选取跨链桥攻击?币安链本身安全吗?怎么看黑客攻击后币安链被暂停?被盗资产结局会如何?对社区有何新启示?

上述问题用户迫切想知道答案,金色财经就此采访了区块链安全公司Numen的安全研究员,看看安全研究员眼中的BNB Chian跨链桥被攻击事件是什么样的。

Q1、10月7日BNB Chian跨链桥BSC Token Hub 遭遇攻击。黑客利用跨链桥漏洞分两次共获取200万枚BNB。请详细讲解一下这次黑客是如何攻击币安链的? 

金色财经挖矿数据播报:BTC今日全网算力下跌0.85%:金色财经报道,据蜘蛛矿池数据显示:

BTC全网算力149.206 EH/s,挖矿难度25.05T,目前区块高度686728,理论收益0.00000620/T/天。

ETH全网算力619.066 TH/s,挖矿难度8121.54T,目前区块高度12591189,理论收益0.00255979/100MH/天。

BSV全网算力0.740EH/s,挖矿难度0.10T,目前区块高度690692,理论收益0.00121543/T/天。

BCH全网算力2.357 EH/s,挖矿难度0.35T,目前区块高度691284,理论收益0.00038178/T/天。[2021/6/8 23:20:12]

Numen:黑客的攻击行为其实很简单,首先从changenow.io获得攻击所需的成本,然后利用币安跨链桥处理消息验证的基础库的漏洞,两次伪造提现恶意消息,导致跨链桥向黑客地址发送了两笔BNB,每笔都是100万个BNB,价值约600M美金。

Hash Bank Cash与金色财经Code Bank达成战略合作:据官方消息,首个基于火币生态链Heco跨链算法稳定币Hash Bank Cash和金色财经旗下的钱包Code Bank达成战略合作,与多家基于Heco的swp 达成合作意向协议,并获得多个基于Haco的知名项目助力,协力共同推动Hash Bank Cash生态稳健发展。Hash Bank Cash合约代码正在审计中,头矿即将开始。[2021/1/26 13:36:24]

具体黑客如何构造proof以绕过消息验证的方法我们还在研究,但可以确定的是BNB Chian在跨链消息验证机制方面,使用了cosmos的IAVL库和Multistoreproof的早期版本代码,且已经被证明有漏洞存在。

分析 | 金色盘面:ETH/USD短线有调整需求:金色盘面综合分析:ETH/USD短线承压,表现出明显的调整需求,下方建议关注日内低点附近的支撑。[2018/8/23]

Q2、这次涉及的金额有说7.1亿美元的,也有说5.6亿美元的,这个金额到底是多少,该怎么算这个金额?

Numen:5.6亿美金是按攻击被发现时的BNB价格估算,而7.1亿或许是在计算了venus的损失后做出的估计。黑客在攻击完成后,通过venus借贷,抽干了借贷池中的USDT、BUSD、USDC等稳定币。由于BNB Chain及时做出了响应,采取了暂停节点、黑名单和冻结等措施,已经将直接损失降低到了1亿美金左右。

金色相对论丨林念龙:IPFS矿机技术门槛低 但技术很牛:本期金色相对论在讨论上,在讨论IPFS矿机热话题时,蜂窝联合创始人林念龙认为:有硬盘和带宽的机器,理论上都可以叫IPFS矿机,比显卡机技术门槛还低。目前ASIC的厂商估计都看不上,深圳一堆的电子厂都可以做出来,当然IPFS这个技术的确很牛。同时林念龙还表示还是老老实实挖大币种BTC,盘子大不易砸。小币种矿机挖矿收益纯拼运气和手速,晚一天,都会赔进去的感觉,比如迅雷的玩客云。[2018/6/27]

Q3、这一次黑客选择攻击的又是跨链桥,为何跨链桥这么不安全?

Numen:任何有资金池的合约都很容易受到攻击,因为黑客的直接目的是获取更多的资金。由于很多跨链桥在处理资产跨链时采用的是质押机制,所以产生了很多数目可观的资金池,吸引了黑客的注意。

具体到跨链桥的实现逻辑上,跨链桥有三种实现方式,公证人、哈希时间锁和中继链,其中哈希时间锁机制相对安全,但只能支持资产的转移,无法实现消息传递;中继链实现复杂,通过区块链的共识机制保障安全,其安全问题一般较为底层,黑客较难利用;而现在大部分跨链桥所采用的公证人机制,由于存在私钥管理、消息验证、合约操作等多个环节出现漏洞的可能性,所以出现了大量的安全事件。

Q4、这个攻击对币安链有影响吗?币安链本身是安全的吗?为什么要暂停币安链? 

Numen:这个攻击对币安链本身的影响不大,只是一些经济和品牌损失,币安链在处理完此次攻击事件后,仍然可以稳定运行,对于主网本身来说,再不涉及到跨链验证的其他层面,由于fork了经过多年验证的以太坊源码,所以相对来说是安全的,但是安全圈有句话叫“世界上没有安全的系统”,所以BNB chain的开发者们仍然不能掉以轻心。

暂停币安链是一个正确的选择,在底层机制出现问题的时候,应当暂停运行,待查清楚具体问题并修复后和处理完相关账号和资产后,再重新运行。

Q5、在黑客攻击成功后,在币安要求下币安链验证者暂停了币安链网络运行,在社区引发不少争议,怎么看币安和币安链的这一行为?

Numen:币安暂停网络其实是一个负责任的行为,如果继续运行网络,那所有BNB chain的生态都会受到重大影响,现在并不是争论中心化还是去中心化的时候,我们共同的敌人是黑客。

Q6、现在黑客多个地址被拉黑名单或者资产被冻结,各位觉得这次黑客被盗资产结局会如何? 

Numen:已经冻结和被币安链锁住的资产暂时是安全的,而已经通过跨链转移到ETH、FTM等链上的资产,可能难以追回。

Q7、此次币安跨链桥被攻击和之前的黑客攻击有何异同?对社区有何新的启示?

Numen:此次攻击时针对供应链的攻击,黑客显然对BNB chain的底层供应链比较熟悉,这点在之前的安全事件中比较少见。

对社区的启发是技术人员应当对自己使用的库和copy的代码做到深入的了解,要明白他们的运行机制,并能够review代码中的问题,同时应该投入更多的资源在代码审计上,由专业的第三方安全审计公司来进行多轮的审计,以保障项目的安全。

金色财经Maxwell

Bankless

金色荐读

FastDaily

中国金融杂志

巴比特资讯

元宇宙之道

标签:BNBUMENUMNUMEbnb是什么公司NumeraireBitcoin LatinumNumeraire

比特币价格热门资讯
NFT:金色Web3.0日报 | 人民网发行创办25周年数字藏品_元宇宙为啥没人提了

1.DeFi代币总市值:460.54亿美元 DeFi总市值 数据来源:coingecko2.过去24小时去中心化交易所的交易量49.

1900/1/1 0:00:00
BIN:彭博社:美 SEC 正在对币安的 BNB 代币进行调查_Binapet

彭博社周一援引内部消息称,美国证券交易委员会 (SEC) 正在审查币安(Binance)的 BNB 代币是否属于未经注册的证券发行.

1900/1/1 0:00:00
CFT:美证监会主席:多数加密代币是证券 法律有明确规定_加密货币有哪几种形态

FX168财经报社(香港)讯 美国证监会主席根斯勒重申,多数加密代币都是证券,并强调“法律对此有明确规定”.

1900/1/1 0:00:00
元宇宙:元宇宙 并非造富运动_AND

春晚之上,沈腾有关元宇宙的调侃再一次引发了外界对于元宇宙的关注,并且狗狗币还一度出现了暴涨。相信很多知道元宇宙的人都会和沈腾抱有同样的想法,即,他们仅仅只是将元宇宙看成是一种暴富的手段,正如当初.

1900/1/1 0:00:00
元宇宙:为什么元宇宙这么火?这里有一份元宇宙的加密指南_BTCMT币

“元宇宙”不再只是一个科幻术语了。技术能改变生活,如今的我们已经对此见怪不怪了。举例来说,互联网、智能手机和云计算,都是在科幻小说出现之前出现的.

1900/1/1 0:00:00
区块链:欧洲放射学会:区块链技术如何赋能医学成像?_人工智能软件

编者注:欧洲放射学会(European Society of Radiology)是一个非营利性非治政性国际组织,致力于促进和协调所有欧洲国家放射学的科学、慈善、知识和专业活动.

1900/1/1 0:00:00