「事件回顾」币安链遭遇有史以来金额最大的黑客攻击
10月7日凌晨,BNBChain遭遇了黑客攻击,攻击涉及的总金额达到7亿美元,其中包含5.7亿美元的BNB。据币安创始人赵长鹏所说,这场震动整个行业的“攻击”主要原因是跨链桥“代币中心”上的一个漏洞导致的。
就此事,金色财经对整个“攻击”事件的进行了整理,方便大家观看,同时邀请到Beosin安全团队将手法进行解析。
攻击方式如下:
币安跨链桥BSCTokenHub在进行跨链交易验证时,使用了一个特殊的预编译合约用于验证IAVL树。而该实现方式存在漏洞,该漏洞可能允许攻击者伪造任意消息。
1)攻击者先选取一个提交成功的区块的哈希值
2)然后构造一个攻击载荷,作为验证IAVL树上的叶子节点
3)在IAVL树上添加一个任意的新叶子节点
4)同时,添加一个空白内部节点以满足实现证明
5)调整第3步中添加的叶子节点,使得计算的根哈希等于第1步中选取的提交成功的正确根哈希
6)最终构造出该特定区块的提款证明BeosinTrace正在对被盗资金进行实时追踪。
事件时间轴如下:
10月7号00:55
Web3娱乐社交应用Melody代币地址被黑客盗用,团队暂时关闭提现功能:10月25日消息,Web3娱乐社交应用Melody在官网推特发布提醒,其应用代币地址已被黑客盗用,请不要相信任何未经证实的信息。目前,相关技术漏洞已经修复,但因维护合约已经暂停体提现等功能。[2022/10/25 16:37:53]
黑客于区块高度?21955968?通过调用合约缴纳100BNB注册成为Relayer。
2:26~4:43
黑客从BNBChain的“代币中心”系统合约分两次共获取了200万枚BNB。
并将其中90万枚BNB在BNBChain上借贷协议Venus进行抵押,借出6250万BUSD、5000万USDT、3500万USDC。此外,据社媒账号CIAOfficer的独立分析师表示,此次黑客攻击目前包括104万枚BNB、价值3.89亿美元的venusBNB,以及2800万美元BUSD,共7.18亿美元。该金额为史上最大链上攻击。
慢雾:Quixotic黑客盗取约22万枚OP,跨链至BNB Chain后转入Tornado Cash:7月1日消息,据慢雾分析,Quixotic黑客盗取了大约22万枚OP(约11.9万美元),然后将其兑换成USDC并跨链到BNB Chain,之后将其兑换成BNB并转入Tornado Cash。[2022/7/1 1:44:55]
5:48
TheBlock研究员EdenAu发推表示,Tether已将BNBChain攻击者地址列入黑名单,此外,攻击者还持有4500万美元以上的ETH。
6:19~6:35
动态 | 西安3名高级黑客盗6亿元虚拟货币 被民警抓获:8月18日消息,昨日下午,历时近半年的“3·30”特大网络黑客盗窃虚拟货币案正式告破。3名网络技术人员,组织“黑客联盟”,涉案金额达6亿元。这是截至目前,国内同类案件中,涉案金额最高的。
据了解,这3人都是高级黑客,曾供职于国内一家知名的网络科技公司。他们通过多次非法入侵、控制公司企业和个人的网络系统,获取大量收益,“他们在作案得手后,会通过分批抛售部分虚拟货币进行提现,再将这些钱用于买别墅、高档汽车和其他理财产品。”目前,案件仍在进一步调查中。[2018/8/18]
BNBChain发推表示,由于活动异常,目前正在维护中,暂时暂停所有通过BNB链的存取款,直到有进一步的更新。“我们在确定潜在漏洞后暂停了BNBChain,所有系统现在都被控制住了,我们正在调查潜在的漏洞,我们知道共同体将协助并帮助冻结任何转账”。BNBChain在另一推文表示,被提取资金约7000万至8000万美元,已冻结700万美元。据悉,本次黑客攻击导致包含200万枚BNB在内的约价值7.18亿美元资产被盗取。
动态 | Bancor或开放追踪被黑客盗走的资金的内部工具:交易平台Bancor在7月12日的一篇博客文章中承诺,将应对针对加密货币实体的网络犯罪威胁。该平台联合创始人盖伊·本纳兹(Guy Benartzi)在《邮报》上总结了未来的计划,他还宣布,Bancor用于追踪被黑客盗走的资金的内部工具将面向更广泛的受众开放。据7月9报道,Bancor遭受黑客攻击,被盗了价值1350万美元的代币。[2018/7/14]
7:51
币安CEO赵长鹏发推表示,在BNBChain跨链桥“代币中心”上的一个漏洞导致了额外的BNB,已要求所有验证者暂时暂BNBChain,这个问题现在得到了控制,资金是安全的,将相应地提供进一步的更新。
8:47
Paradigm研究员samczsun在社交媒体上发文表示,链上数据及相关代码显示,BSC跨链桥的验证方式存在BUG,该BUG可能允许攻击者伪造任意消息。本次攻击中,攻击者伪造信息通过了BSC跨链桥的验证,使跨链桥向攻击者地址发送了200万枚BNB。
今年已发生22起黑客盗币和欺诈等案件 日均损失2300万美元:据Bitcoin文章统计,2018年的前两个月,共发生了22起金额超过40万美元以上的黑客攻击和欺诈案件,平均每天损失2300万美元。其中,由于“黑客盗币”造成的损失共达13.6亿美元,占总损失的22%,即便排除Coincheck、Bitconnect和Bitgrail,这一数字仍然达到5.42亿美元。若这个趋势继续下去,黑客和欺诈者将会获得32.5亿美元,这相当于一个非洲小国的国内生产总值。该统计不包括在Twitter、Telegram等社交媒体上发生过的“微型”。[2018/3/2]
9:00
数据显示,BNBChain漏洞攻击者使用跨链桥Stargate和Multichain等进行资产转移,分别向以太坊和Fantom网络发送约5335万美元和4880万美元,BNBChain上仍有约4.3亿美元。
9:22
BNBChain官方在社交媒体上发文表示,已要求BNBChain节点验证者在未来几个小时内与其联系,以便可以计划进行节点升级。
9:29
币安创始人赵长鹏转发推特表示:“暂时无法给出具体的升级预计时间,币安给开发人员时间来充分了解本次事件的根本原因,实施修复并进行深度测试,然后再继续。”
9:45
慢雾SlowMist在社交媒体上发文表示,已监控到本次BNBChain被盗案黑客地址与多个dApp进行过交互,包括Multichain、VenusProtocol、AlpacaFinance、Stargate、Curve、Uniswap、TraderJoe、PancakeSwap、SushiSwap等。
此外,黑客转移至Avalanche链上的相关地址或已被列入黑名单,但转移至Arbitrum的地址暂时并未被列入。
11:30
据欧科云链链上卫士安全团队监测,截至当前时间,该黑客地址下余额有102万枚BNB、4128万枚vBNB、2881万枚BUSD、277万枚USDT,按当前市场价格计算,累计价值超7亿美元。此次黑客事件损失超过上次RoninNetwork6.2亿美元,是至今为止被黑金额最高的事件。
此次案件黑客最早于10月6日便使用ChangeNOW服务转入了起始攻击资金到BSC链上,随后黑客通过调用系统RelayerHub合约0x1006进行注册,然后对系统CrossChain合约0x2000发起攻击。
1:02
10月7日消息,BNBChain发推称,已发布BSCv1.1.15版本,BSC验证者正在协调,以寻求在1小时内恢复BNB智能链。新版本将阻止黑客账户相关活动。BNB信标链和BNB智能链之间的原生跨链通信已禁用。官方要求所有节点运营者尝试升级至上述版本。验证者和社区将讨论进一步升级以完全解决此问题。
2:53
BNBChain发推称,BNB智能链20多分钟前开始良好运行。验证者正在确认他们的状态,社区基础设施也在升级。
9?月?3?日公布的最新一期?CFTC?CME?比特币持仓周报显示,比特币标准合约总持仓量自?13302?上升至?14440,该数值连续两周上升,并创出了近五个统计周期新高.
1900/1/1 0:00:00Merge顺利成功,对显卡矿工们是一把落下的「达摩克利斯之剑」,而对去中心算力市场而言,却是一把开启广阔市场的金钥匙.
1900/1/1 0:00:00编译:RR信息来源自mirror?,略有修改,作者KailiWang本文转自公号:老雅痞区块链交易的不可变性既是一种祝福也是一种诅咒.
1900/1/1 0:00:009月20日消息,美国证券交易委员会已对加密货币投资者IanBalina参与推广2018年未注册加密资产SPRK一案发起诉讼,但加密社区在美国证券交易委员会的起诉书中发现.
1900/1/1 0:00:00原文标题:《公链竞争II——随想》原文作者:Maco,W3.Hitchhiker;修订:Evelyn,W3.Hitchhiker前言基于上一篇对二线公链对比的报告,结合最新Delphi奶文.
1900/1/1 0:00:00作者:Matti,下文由DeFi之道编译当我们已经开始些许适应熊市节奏的时候,我注意到有些人已经按捺不住想快速跳转到下一个市场阶段了.
1900/1/1 0:00:00