月亮链 月亮链
Ctrl+D收藏月亮链

区块链:金色观察 | 安全研究员眼中的BNB Chian跨链桥被攻击事件_BNB

作者:

时间:1900/1/1 0:00:00

10月7日凌晨,黑客利用BNBChian跨链桥BSCTokenHub漏洞,分两次共盗取200万枚BNB。据分析,攻击涉及的总金额超过7亿美元,其中包含5.7亿美元的BNB。

BNBChian是如何被攻击的?黑客盗取金额具体有多少?黑客为何又是选取跨链桥攻击?币安链本身安全吗?怎么看黑客攻击后币安链被暂停?被盗资产结局会如何?对社区有何新启示?

上述问题用户迫切想知道答案,金色财经就此采访了区块链安全公司Numen的安全研究员,看看安全研究员眼中的BNBChian跨链桥被攻击事件是什么样的。

Q1、10月7日BNBChian跨链桥BSCTokenHub遭遇攻击。黑客利用跨链桥漏洞分两次共获取200万枚BNB。请详细讲解一下这次黑客是如何攻击币安链的??

金色财经行情播报 | BTC下探回升,日线MA5构成支撑:据火币行情显示,今日BTC行情下探回升,上午最低探至9250USDT,随后震荡回升。从日线图看,均线MA5构成支撑助力反弹。4小时图局部保持底比底高趋势,局部行情虽然调整需求还未完全消化,但多头仍有反击后劲。截至18:30,火币平台的主流币的具体表现如下。[2020/5/15]

Numen:黑客的攻击行为其实很简单,首先从changenow.io获得攻击所需的成本,然后利用币安跨链桥处理消息验证的基础库的漏洞,两次伪造提现恶意消息,导致跨链桥向黑客地址发送了两笔BNB,每笔都是100万个BNB,价值约600M美金。

金色相对论 | 刘昌用:对区块链教育的需求主要有5个方面:在今日的金色相对论中,针对“当前区块链发展对于区块链教育提出了怎样需求”的问题,知密大学发起人,北京大学经济学博士刘昌用表示,区块链是类似于互联网的一个综合性创新,既有技术创新,也有制度创新,而且很大程度上是制度创新。因此,区块链的应用领域非常广泛,层次多样。应用前景非常广阔,所以,潜在的需求就非常大。从实践情况看,对区块链教育的需求主要有5个方面:一是认知需求。在这轮区块链浪潮中,绝大多数人是听说区块链,被区块链的社会影响所震惊,希望了解什么是区块链,有一个基本的认知。这部分需求很大,几乎随处可见。二是入门需求。也就是在有了基本认知之后,有了基本的正面判断,希望能够尝试进入这个新的领域,这就需要相关知识,尤其是具有具有实操性质的知识。三是创业需求。区块链的造富效应一度激发了热烈的创业浪潮。2017-2018年的区块链新建企业应该超过了之前总量的数倍以上。创业者们需要更加综合、深入、具体的区块链知识。四是就业需求。区块链企业的蓬勃发展产生了大量的区块链岗位,而有区块链知识储备的人才非常少,这就激起了很强的就业教育需求。2018年上半年的区块链培训非常火爆,部分原因在于此。目前看,这方面的需求以开发为主。五是投资需求。这可能是最大的、最直接的需求了。尤其在2017年底到2018年上半年,需求非常旺盛,毕竟那段时间的财富效应非常大,人们希望快速进入区块链投资领域。总的来看,区块链作为系列新技术支撑的新的经济组织模式,其应用范围和市场前景广阔,区块链教育的潜在需求巨大。[2019/9/12]

具体黑客如何构造proof以绕过消息验证的方法我们还在研究,但可以确定的是BNBChian在跨链消息验证机制方面,使用了cosmos的IAVL库和Multistoreproof的早期版本代码,且已经被证明有漏洞存在。

金色财经现场报道,Ryan Zurrer:未来希望能看到区块链达到跨链应用:在2018年世界数字资产峰会(WDAS)暨FBG年会上,来自Polychain公司的Ryan Zurrer针对未来区块链的发表看法,Ryan Zurrer表示,在未来希望看到不同链的交互使用,同时一系列的协议也希望是建立在生态系统之上,在监管方面也能取得更好的进展。[2018/5/2]

Q2、这次涉及的金额有说7.1亿美元的,也有说5.6亿美元的,这个金额到底是多少,该怎么算这个金额?

Numen:5.6亿美金是按攻击被发现时的BNB价格估算,而7.1亿或许是在计算了venus的损失后做出的估计。黑客在攻击完成后,通过venus借贷,抽干了借贷池中的USDT、BUSD、USDC等稳定币。由于BNBChain及时做出了响应,采取了暂停节点、黑名单和冻结等措施,已经将直接损失降低到了1亿美金左右。

金色财经讯:10月24日,知名市场研究公司CB Insights发布《2017年三季度全球区块链投资趋势报告》,截至2017年10月,全球ICO项目累计融资总额已经超过20亿美元。[2017/10/26]

Q3、这一次黑客选择攻击的又是跨链桥,为何跨链桥这么不安全?

Numen:任何有资金池的合约都很容易受到攻击,因为黑客的直接目的是获取更多的资金。由于很多跨链桥在处理资产跨链时采用的是质押机制,所以产生了很多数目可观的资金池,吸引了黑客的注意。

具体到跨链桥的实现逻辑上,跨链桥有三种实现方式,公证人、哈希时间锁和中继链,其中哈希时间锁机制相对安全,但只能支持资产的转移,无法实现消息传递;中继链实现复杂,通过区块链的共识机制保障安全,其安全问题一般较为底层,黑客较难利用;而现在大部分跨链桥所采用的公证人机制,由于存在私钥管理、消息验证、合约操作等多个环节出现漏洞的可能性,所以出现了大量的安全事件。

Q4、这个攻击对币安链有影响吗?币安链本身是安全的吗?为什么要暂停币安链??

Numen:这个攻击对币安链本身的影响不大,只是一些经济和品牌损失,币安链在处理完此次攻击事件后,仍然可以稳定运行,对于主网本身来说,再不涉及到跨链验证的其他层面,由于fork了经过多年验证的以太坊源码,所以相对来说是安全的,但是安全圈有句话叫“世界上没有安全的系统”,所以BNBchain的开发者们仍然不能掉以轻心。

暂停币安链是一个正确的选择,在底层机制出现问题的时候,应当暂停运行,待查清楚具体问题并修复后和处理完相关账号和资产后,再重新运行。

Q5、在黑客攻击成功后,在币安要求下币安链验证者暂停了币安链网络运行,在社区引发不少争议,怎么看币安和币安链的这一行为?

Numen:币安暂停网络其实是一个负责任的行为,如果继续运行网络,那所有BNBchain的生态都会受到重大影响,现在并不是争论中心化还是去中心化的时候,我们共同的敌人是黑客。

Q6、现在黑客多个地址被拉黑名单或者资产被冻结,各位觉得这次黑客被盗资产结局会如何??

Numen:已经冻结和被币安链锁住的资产暂时是安全的,而已经通过跨链转移到ETH、FTM等链上的资产,可能难以追回。

Q7、此次币安跨链桥被攻击和之前的黑客攻击有何异同?对社区有何新的启示?

Numen:此次攻击时针对供应链的攻击,黑客显然对BNBchain的底层供应链比较熟悉,这点在之前的安全事件中比较少见。

对社区的启发是技术人员应当对自己使用的库和copy的代码做到深入的了解,要明白他们的运行机制,并能够review代码中的问题,同时应该投入更多的资源在代码审计上,由专业的第三方安全审计公司来进行多轮的审计,以保障项目的安全。

标签:区块链BNBBCHNBC区块链通俗易懂的例子bnb最新价格快船bch币未来价格nbc币是什么

SHIB最新价格热门资讯
CFT:美证监会主席:多数加密代币是证券 法律有明确规定_CCFT

FX168财经报社(香港)讯美国证监会主席根斯勒重申,多数加密代币都是证券,并强调“法律对此有明确规定”.

1900/1/1 0:00:00
加密货币:三分钟读懂 PID:Web3 世界的护照_PID

撰文:PaulVeradittakit,PanteraCapital合伙人编译:Amber,ForesightNews2021年,中心化加密货币交易所的总交易量超过了14万亿美元.

1900/1/1 0:00:00
以太坊:ConsenSys:以太坊路线图、合并未解决的威胁与机构DeFi的未来_DeFi Wizard

作者|?Clemens?Wan,Nicole?Adarme,Ryan?Ho,Simran?Jagdev,?Yan?Lin?Fu本周是以太坊历史上非常重要的一周.

1900/1/1 0:00:00
NFT:Talk 2 Earn:我的“废话”能值钱?_STEPN

本文转自公号:老雅痞导读GameFi是个争议很大的方向,双币模式和角色切分的模式构造出了精致的接盘逻辑。GameFi之后又有Move2Earn这种外部价值稍高的项目.

1900/1/1 0:00:00
区块链:寻找下一个 Solana?_Mirrored ProShares VIX

风险投资正在向新的智能合约平台投入巨资https://twitter.com/TheDeFinvestor/status/1578784242204483584L1轮换是2021年最有力的叙事.

1900/1/1 0:00:00
DAO:我们为什么需要 DAO 操作系统?_注册免费挖BTC

DAO的空间结构对生产关系的构建,也将改变DAO存在的治理悖论。原文标题:《06)ThinkaboutWeb3:我们为什么需要DAO操作系统?》撰文:VIONWILLIAMS本篇文章的写作背景是.

1900/1/1 0:00:00