北京時間今天上午,BNBChian跨鏈橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB,價值約5.66億美元。和BNB鏈之間的跨鏈橋。)消息一出,BNB價格在2小時內一度下跌近5%,跌至278.7美元低點,現報價284美元,24小時跌幅4.24%。根據BNBChain的說法,從BSC提取的資金的初步估計在1億美元至1.1億美元之間。并且,Tether也在第一時間將黑客地址列入黑名單。“感謝社區和我們的內部和外部安全合作伙伴,估計700萬美元已經被凍結。”Binance創始人CZ在社交媒體上發文表示,目前幣安已要求所有驗證者暫停BSC網絡,用戶的資金是安全的,對于給用戶帶來的不便深表歉意,并將相應地提供進一步的更新。針對具體的攻擊方式,Paradigm研究員samczsun在社交媒體上發文表示,鏈上數據及相關代碼顯示,BSC跨鏈橋的驗證方式存在BUG,該BUG可能允許攻擊者偽造任意消息;本次攻擊中,攻擊者偽造信息通過了BSC跨鏈橋的驗證,使跨鏈橋向攻擊者地址發送了200萬枚BNB。samczsun分析文章如下:
OKX建立行業BRC-20解析新標準:5月16日消息,據OKX官方公告,OKX正式建立行業BRC-20解析新標準,該標準已通過安全審計機構慢霧的安全審計,旨在逐步完善和增強BRC-20生態的完整性和穩健性。
據悉,OKX持續關注并投入BRC-20基礎設施建設,OKX Web3錢包即將上線Ordinals交易市場,是首個支持Ordinals代幣及NFT交易的多鏈錢包。OKX此前已與UniSat達成官方合作支持雙重驗證,并上線首個BRC-20瀏覽器。[2023/5/16 15:06:48]
五小時前,攻擊者從BinanceBridge竊取了200萬BNB。此后我一直在與多方密切合作致力于揭示這一切如何發生的。
事情的起因是@zachxbt突然把攻擊者的地址發給了我。當我點擊進去的時候,我看到了一個價值數億美元的賬戶;要么是有項目rug跑路,要么就是正在進行大規模的黑客攻擊。
BitDNS入選火種源計劃,將為BitCherry生態應用提供域名解析服務:據官方消息,2021年4月14日,BitDNS成為首批加入BitCherry分布式商業生態的合作伙伴。BitDNS將為BitCherry鏈上應用提供分布式域名解析服務,實現一鍵去中心化,幫助企業和個人用戶更加便捷、安全的參與數字資產交易,管理鏈上價值數據信息。BitCherry將攜手BitDNS打造去中心化的網絡生態系統,建立安全便捷的鏈上分布式商業生態體系。[2021/4/14 20:18:34]
一開始,我以為@VenusProtocol又被黑了。然而,很快我就確定了攻擊者“真的”向Venus存入了超過2億美元。這時我就需要弄清楚這些資金的來源。
V神:預測市場的結果解析層和市場層正在分離:V神在推特表示,預測市場正在分離:結果解析層(如果發生某些事件,給1美元的代幣,沒有發生返回0代幣)與市場層(如何交易這些代幣)分離。[2020/9/26]
答案是,攻擊者以某種方式說服了幣安跨鏈橋,直接給他們發送了1,000,000BNB,而且是兩次。
要么幣安推出Web3有史以來最大的“禮包”,要么攻擊者發現了一個嚴重的漏洞。我首先將攻擊者的交易與合法提款進行比較。我注意到的第一件事是攻擊者使用的高度始終相同——110217401,而合法提款使用的高度要大得多,例如270822321。
分析 | 資金流入榜首DASH盤面解析:在過去24小時中,DASH在各主流幣中非常強勢,資金凈流入31.97億人民幣。從圖中可以看出,DASH目前4小時走勢處于上升楔形三角中,底部不斷抬高,100均線上穿長期200均線,表明近期壓力位將會上移,并且MA100和MA 200將會對幣價起到支撐作用,不過目前兩均線的缺口在收窄,說明近期上沖動能在逐步減弱,RSI顯示進入超買區域,短期有回撤蓄勢的需求,上方壓力95,下方支撐89,收盤若站穩89上方,還會有上漲空間,反之幣價可能回撤至三角底部$75附近尋求支撐。利好消息面,區塊鏈支付服務PolisPay宣布與Dash合作,將支持其萬事達卡借記卡。[2019/3/13]
我還注意到攻擊者的證明明顯短于合法提款的證明。這兩個事實使我確信,攻擊者已經找到了一種方法來偽造該特定區塊的證明。現在,我必須弄清楚這些證明是如何工作的。
動態 | 日本Catabira推出基于區塊鏈的數據解析平臺:據Prtimes消息,日本信息服務商Catabira宣布推出基于區塊鏈的商業服務級數據解析平臺Catabira Insights For Blockchain,將利用區塊鏈技術不可篡改的特性保證調查數據的真實性。[2018/11/8]
在Binance上,有一個特殊的預編譯合約用于驗證IAVL樹。如果您對IAVL樹一無所知,也不要擔心,因為有95%的內容我都不懂。幸運的是,你和我所需要的只是剩下的5%。
基本上,當你驗證一個IAVL樹時,你指定了一個“操作”列表。幣安跨鏈橋通常需要兩個操作:“iavl:v”操作和“multistore”操作。以下是它們的實現:https://github.com/bnb-chain/bsc/blob/46d185b4cfed54436f526b24c47b15ed58a5e1bb/core/vm/lightclient/multistoreproof.go#L106-L125為了偽造證明,我們需要兩個操作都成功,并且我們需要最后一個操作返回一個固定值。通過查看implementation,我們可以發現,操縱根哈希是不可能的,或者至少非常困難。這意味著我們需要我們的輸入值等于其中一個提交id。
“multistore”操作的輸入值是“iavl:v”操作的輸出值。這意味著我們想以某種方式控制這里的根變量,同時仍然通過值驗證。
那么如何計算根哈希?它發生在一個名為COMPUTEHASH的函數中。在非常高的層次上,它遞歸地遍歷每條路徑和葉節點并進行大量的哈希運算。https://github.com/cosmos/iavl/blob/de0740903a67b624d887f9055d4c60175dcfa758/proof_range.go#L237-L290實際上實現細節并不重要,重要的是,由于哈希函數的工作方式,我們基本上可以肯定地說,任何(path,nleaf)對都會產生唯一的哈希。如果我們想偽造證據,這些就得保持不變。查看證明在合法交易中的布局方式,我們看到它的路徑很長,沒有內部節點,只有一個葉節點,這個葉節點包含我們惡意載荷的哈希值!如果我們不能修改這個葉節點,那么我們需要添加一個新的葉節點。
當然,如果我們添加一個新的葉節點,我們還需要添加一個新的內部節點來匹配。
現在我們只需要面對最后一個障礙。我們如何真正讓COMPUTEHASH返回我們想要的根哈希?好吧,請注意,最終我們將需要一個包含非零右哈希的路徑。當我們找到一個匹配時,我們斷言它與中間根哈希匹配。
讓我們稍微檢測一下代碼,這樣我們就可以弄清楚我們需要什么哈希,然后剩下的就是把它們放在一起,我們將采用合法證明并對其進行修改,以便:1)我們為偽造的有效負載添加一個新葉節點;2)我們添加一個空白內部節點以滿足證明者;3)我們調整我們的葉節點以使用正確的根哈希提前退出https://gist.github.com/samczsun/8635f49fac0ec66a5a61080835cae3db…
值得注意的是,這不是攻擊者使用的確切方法。他們的證明路徑要短得多,我不確定他們究竟是如何生成的。但是,漏洞利用的其余部分是相同的,我相信展示了如何從頭開始構建它是有價值的。總之,幣安跨鏈橋驗證證明的方式存在一個錯誤,該錯誤可能允許攻擊者偽造任意消息。幸運的是,這里的攻擊者只偽造了兩條消息,但損害可能要嚴重得多。
關鍵要點 Nouns是一個關于如何以最快的方式擴展一個品牌的開源實驗在過去的一年里,它已經獲得了巨大的牽引力,財庫實現了從0到26,000ETH的增長三個關鍵組成部分支撐著Nouns:每日拍賣.
1900/1/1 0:00:00作者|秦曉峰編輯|郝方舟出品|Odaily星球日報 一、整體概述 ultrasoundmoney數據顯示,以太坊供應量自合并后共增加7090枚,如果不進行合并.
1900/1/1 0:00:00被支持者視為下一代互聯網的Web3,正蓬勃發展。在社交平臺上,有很多人私信我,應該怎么去Web3找工作。我將一些個人經驗總結為這篇文章,分為What、Why、How三部分,為后來者搭建一個框架.
1900/1/1 0:00:001986年,早期的互聯網供應商QuantumLink和娛樂公司LucasfilmGames發布了第一款MMO游戲名為:《Habitat》基于虛擬角色的社交世界.
1900/1/1 0:00:00token經濟學通常與其餅狀圖分配相關,其代表了團隊、投資者、財庫和社區之間的token百分比分配情況。這些數字通常是根據非token投資者分配基準以及團隊和投資者之間的雙邊談判確定的.
1900/1/1 0:00:00前言:Jonas是瓜哥面基過的小伙伴,認識有一段時間了,都是從金融行業轉型到WEB3的從業者,大家一起多次深入溝通討論過鏈游的方方面面.
1900/1/1 0:00:00