火星链 火星链
Ctrl+D收藏火星链
首页 > 聚币 > 正文

区块链:金色观察 | 安全研究员眼中的BNB Chian跨链桥被攻击事件

作者:

时间:1900/1/1 0:00:00

10月7日凌晨,黑客利用BNB Chian跨链桥BSC Token Hub漏洞,分两次共盗取200万枚BNB。据分析,攻击涉及的总金额超过7亿美元,其中包含5.7亿美元的BNB。

BNB Chian是如何被攻击的?黑客盗取金额具体有多少?黑客为何又是选取跨链桥攻击?币安链本身安全吗?怎么看黑客攻击后币安链被暂停?被盗资产结局会如何?对社区有何新启示?

上述问题用户迫切想知道答案,金色财经就此采访了区块链安全公司Numen的安全研究员,看看安全研究员眼中的BNB Chian跨链桥被攻击事件是什么样的。

Q1、10月7日BNB Chian跨链桥BSC Token Hub 遭遇攻击。黑客利用跨链桥漏洞分两次共获取200万枚BNB。请详细讲解一下这次黑客是如何攻击币安链的? 

金色午报 | 6月12日午间重要动态一览:7:00-12:00关键词:证监会科技局、印度法案、以太坊异常交易

1.证监会科技局正式上线 科技局由姚前领衔。

2.印度正寻求出台禁止使用加密货币的法律。

3.央行今日进行1000亿元人民币7天期逆回购操作。

4.以太坊出现第三笔手续费达2310ETH异常交易。

5.以太坊天价手续费转账或是黑客发起的GasPrice勒索攻击。

6.今日恐慌与贪婪指数为38 恐慌等级转为恐慌。

7.美国15名被告承认参与国际网络欺诈计划涉及使用比特币。

8.比特币持续下跌,日内最低报9101美元,最高报9566.77美元。[2020/6/12]

Numen:黑客的攻击行为其实很简单,首先从changenow.io获得攻击所需的成本,然后利用币安跨链桥处理消息验证的基础库的漏洞,两次伪造提现恶意消息,导致跨链桥向黑客地址发送了两笔BNB,每笔都是100万个BNB,价值约600M美金。

金色财经投资者提示:EOS映射期间,不影响火币平台EOS币币交易:EOS主网即将上线,其映射及充币提现问题备受关注。金色财经获悉,EOS即将于新加坡时间2018年6月2日07:00结束众筹,而映射的截止时间是6月3日06:00,之后所有基于以太坊ERC20的EOS TOKEN将会被冻结,无法转账。

火币支持EOS全自动映射,并将于5月31日暂停EOS充币和提现业务,映射期间,存放于火币平台内的EOS可进行币币交易。金色财经提醒广大投资者务必于5月31日18:00之前完成充币并做好资产管理,以免造成损失。[2018/5/29]

具体黑客如何构造proof以绕过消息验证的方法我们还在研究,但可以确定的是BNB Chian在跨链消息验证机制方面,使用了cosmos的IAVL库和Multistoreproof的早期版本代码,且已经被证明有漏洞存在。

金色财经现场报道 BitTemple助力全球区块链项目落地新加坡:5月3日晚,世界区块链中心·BitTemple新加坡开幕酒会上,来自科技寺负责人赵曌上台进行演讲,在现场记者了解到,BitTemple是一个落地于新加坡的专门为区块链领域创业者提供办公空间、资源支持和项目孵化的区块链孵化器,位于新加坡市中心的最高大楼Republic Plaza,共提供300工位助力全球区块链项目落地新加坡。[2018/5/3]

Q2、这次涉及的金额有说7.1亿美元的,也有说5.6亿美元的,这个金额到底是多少,该怎么算这个金额?

Numen:5.6亿美金是按攻击被发现时的BNB价格估算,而7.1亿或许是在计算了venus的损失后做出的估计。黑客在攻击完成后,通过venus借贷,抽干了借贷池中的USDT、BUSD、USDC等稳定币。由于BNB Chain及时做出了响应,采取了暂停节点、黑名单和冻结等措施,已经将直接损失降低到了1亿美金左右。

金色财经现场报道 Jeffrey Wernick:区块链应该致力于建立透明、公平、协作的平台:金色财经现场报道,芝加哥大学经济与金融学博士、比特币早期参与者、独立投资人Jeffrey Wernick在世界区块链大会·三点钟峰会开幕式上进行演讲。Jeffrey Wernick指出,世界上1%的人占有了50%的财富,我们每天都在生产数据,因此理应对这些数据有知情权和收获价值的权利,我们应该建立一个公平的世界,而这正是区块链发展的应用潜力之地,无论种族、国籍、宗教,我们都需要相互合作,去真正的去解决问题。目前VC和大型投资机构都不够透明,我们要建造一个更加透明的社区,让大家变得更积极,努力构建更加良好而可信的协议和平台,做更多让大家认可其中价值的事情。[2018/4/24]

Q3、这一次黑客选择攻击的又是跨链桥,为何跨链桥这么不安全?

Numen:任何有资金池的合约都很容易受到攻击,因为黑客的直接目的是获取更多的资金。由于很多跨链桥在处理资产跨链时采用的是质押机制,所以产生了很多数目可观的资金池,吸引了黑客的注意。

具体到跨链桥的实现逻辑上,跨链桥有三种实现方式,公证人、哈希时间锁和中继链,其中哈希时间锁机制相对安全,但只能支持资产的转移,无法实现消息传递;中继链实现复杂,通过区块链的共识机制保障安全,其安全问题一般较为底层,黑客较难利用;而现在大部分跨链桥所采用的公证人机制,由于存在私钥管理、消息验证、合约操作等多个环节出现漏洞的可能性,所以出现了大量的安全事件。

Q4、这个攻击对币安链有影响吗?币安链本身是安全的吗?为什么要暂停币安链? 

Numen:这个攻击对币安链本身的影响不大,只是一些经济和品牌损失,币安链在处理完此次攻击事件后,仍然可以稳定运行,对于主网本身来说,再不涉及到跨链验证的其他层面,由于fork了经过多年验证的以太坊源码,所以相对来说是安全的,但是安全圈有句话叫“世界上没有安全的系统”,所以BNB chain的开发者们仍然不能掉以轻心。

暂停币安链是一个正确的选择,在底层机制出现问题的时候,应当暂停运行,待查清楚具体问题并修复后和处理完相关账号和资产后,再重新运行。

Q5、在黑客攻击成功后,在币安要求下币安链验证者暂停了币安链网络运行,在社区引发不少争议,怎么看币安和币安链的这一行为?

Numen:币安暂停网络其实是一个负责任的行为,如果继续运行网络,那所有BNB chain的生态都会受到重大影响,现在并不是争论中心化还是去中心化的时候,我们共同的敌人是黑客。

Q6、现在黑客多个地址被拉黑名单或者资产被冻结,各位觉得这次黑客被盗资产结局会如何? 

Numen:已经冻结和被币安链锁住的资产暂时是安全的,而已经通过跨链转移到ETH、FTM等链上的资产,可能难以追回。

Q7、此次币安跨链桥被攻击和之前的黑客攻击有何异同?对社区有何新的启示?

Numen:此次攻击时针对供应链的攻击,黑客显然对BNB chain的底层供应链比较熟悉,这点在之前的安全事件中比较少见。

对社区的启发是技术人员应当对自己使用的库和copy的代码做到深入的了解,要明白他们的运行机制,并能够review代码中的问题,同时应该投入更多的资源在代码审计上,由专业的第三方安全审计公司来进行多轮的审计,以保障项目的安全。

金色财经Maxwell

Bankless

金色荐读

FastDaily

中国金融杂志

巴比特资讯

元宇宙之道

标签:BNB区块链NUMEUMEbnb是什么游戏区块链简介NUME价格SUZUME币

聚币热门资讯
REL:为什么开发者关系对 Web3 的成功至关重要?

来源:Chainlink之前,我们研究了早期初创公司如何建立开发者社区和跟踪产品与市场的契合度。如果没有有效的开发者关系团队,这些举措不太可能成功.

1900/1/1 0:00:00
CON:总统令见效 美国加密资产监管迈入新阶段

事件:5月19日,美国商务部国际贸易管理中心发布《发展加密资产技术竞争力框架》征求意见稿。回应年初总统令.

1900/1/1 0:00:00
SBF:别了李林 一个时代的结束

2022年10月8日,香港百域资本旗下并购基金完成对火币李林的股份收购,据传在收购早期币安也参与其中;而在2017年,币安还只是初出茅庐,而火币则是绝对霸主.

1900/1/1 0:00:00
THE:Tether、链下稳定币和合成加密泡沫

这就是加密爱好者会告诉您的关于加密货币的未来前景。然而,正如目前的情况所示,如果稳定币造成的一些短期问题没有得到很好的解决,加密货币可能真的是在月球上使用的货币.

1900/1/1 0:00:00
COI:调查:仅 3% 的游戏玩家有 NFT且普遍对加密货币没有好感

据 CoinDesk 报道,根据 Coda Labs 委托进行的一项新调查数据显示,游戏玩家(定义为每月至少玩两次视频游戏的人)很了解加密货币和游戏,其中 89% 的人知道比特币.

1900/1/1 0:00:00
Blox:对话OpenBlox:一张NFT门票解锁一站式NFT游戏平台

基于EVM(以太坊虚拟机)的一站式NFT游戏平台OpenBlox即将推出其首个链游RogueBlox.

1900/1/1 0:00:00