BNB Chian是如何被攻擊的?黑客盜取金額具體有多少?黑客為何又是選取跨鏈橋攻擊?幣安鏈本身安全嗎?怎么看黑客攻擊后幣安鏈被暫停?被盜資產結局會如何?對社區有何新啟示?
上述問題用戶迫切想知道答案,金色財經就此采訪了Beosin安全研究專家。
Q1:10月7日BNB Chian跨鏈橋BSC Token Hub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB。請向我們詳細講解一下這次黑客是如何攻擊的?
Beosin:1)攻擊者先選取一個提交成功的區塊的哈希值(指定塊:110217401)
2)然后構造一個攻擊載荷,作為驗證IAVL樹上的葉子節點
3)在IAVL樹上添加一個任意的新葉子節點
4)同時,添加一個空白內部節點以滿足實現證明
金色晨訊 | 8月19日隔夜重要動態一覽:21:00-7:00關鍵詞:DOT、CME、USDT增發、巴西
1.波卡DOT代幣轉賬已開啟。
2.CME比特幣期貨未平倉合約創歷史新高。
3.MakerDAO發起有關提高ETH債務上限的投票。
4.CME比特幣期貨8月合約收跌3.6%。
5.Uniswap過去一個月收取700萬美元ETH費用。
6.Tether在波場網絡增發2億枚USDT(已授權未發行)。
7.巴西主要加密交易所同意建立并遵守新自我監管守則。
8.標普500指數及納斯達克指數收盤上漲 美股區塊鏈概念股普遍收跌。
9.比特幣夜間維持震蕩,最低報11852.57美元,最高報12083.95美元。[2020/8/19]
5)調整第3步中添加的葉子節點,使得計算的根哈希等于第1步中選取的提交成功的正確根哈希
金色財經行情播報 | BTC跌后小幅回升 主流幣跌幅收窄:據火幣行情顯示,截至上午10:00,BTC在跌破6000 USDT后小幅回升,目前在6000 USDT附近震蕩調整,試圖掙脫整數關口阻擋。市場整體跟隨BTC在跌后小幅回升,主流幣跌幅收窄。[2020/3/30]
6)最終構造出該特定區塊(110217401)的提款證明
Q2:這次涉及的金額有說7.1億美元的,也有說5.6億美元的,這個金額到底是多少,該怎么算這個金額?
Beosin:由于涉及的金額較為龐大,并且涉及了多個鏈之間的跨鏈,金額不太統一也正常,根據Beosin安全團隊的整理與追蹤,目前得出的7.1億美元是幣安鏈上未涉及跨鏈部分的被盜資產,加上跨鏈部分的被盜資產,我們初步估計涉及金額在8.5億美元左右。
Q3:這一次黑客選擇攻擊的又是跨鏈橋,為何跨鏈橋這么不安全?
分析 | 金色盤面:全球市場大幅震蕩 數字貨幣未能幸免:金色盤面分析:夜盤的納斯達克暴跌4%,引爆全球金融市場海嘯,早盤BTC維持了一個月的上升趨勢線跌破,帶動市場全線崩潰,短線建議保持觀望,等待市場企穩。提醒投資者理性看待市場波動,做好風控。(登錄金色財經APP—發現,查看更多幣種的獨家點評)[2018/10/11]
Beosin:由于區塊鏈經過了一段不短的發展時間,無論是區塊鏈項目方自己還是區塊鏈安全公司對于安全的重視程度都高于了以往,因此一些可以使用模板的簡單項目往往難以出現漏洞,跨鏈橋這種代碼復雜且含有鏈下部分的項目就更容易遭受攻擊。跨鏈橋通常都是一些大項目,代碼量較多,多個環節的組合下就容易出現一些組合型漏洞,然而這些漏洞又是較為隱蔽的,容易被黑客所利用。跨鏈橋還有一個高危點就是鏈下安全,由于鏈下代碼一般與鏈上代碼分開審計,并且通常由項目方自己來保證安全,所以安全公司無法由鏈上的代碼來保證整個項目的安全性。
金色財經獨家分析 “如果區塊鏈誕生在歐盟成立前”的猜想:試想如果區塊鏈誕生在1990年代前,歐盟會是什么樣子?日前來自歐盟的多條關于區塊鏈的消息讓筆者開始思考這樣的問題,歐盟數據保護條例、區塊鏈打擊假新聞、歐洲議會五個方面監管數字貨幣等等舉措,引人思考歐盟與區塊鏈的內在聯系。區塊鏈是世界性的,歐盟也是打破國界的,其“促進和平,追求公民富裕生活,實現社會經濟可持續發展,確保基本價值觀,加強國際合作”的目標或許恰巧與區塊鏈不謀而合,歐洲從經濟到文化、等多方面的一體化,已經踐行著區域經濟一體化的構想。
如果區塊鏈誕生在歐盟之前,也許這項技術可以從一開始就融入歐盟的框架中,那么:1、歐元也許已經成為歐洲唯一加密法幣;2、各國經濟數據將因區塊鏈而變得更加透明從而貨幣政策的針對性更強,歐盟各國的經濟協調將更為密切,因而經濟差距也將縮小。如果歐盟曾經是一個區塊鏈的世界,歐債危機可能會被更有效的預測或避免,歐盟各國經濟差距的縮小或許不會有現在的英國脫歐。
雖然歐盟成立之初互聯網才剛剛開始普及,歐元誕生之時互聯網泡沫剛剛破裂,比特幣進入人們視野的那幾年歐盟幾乎完成了擴張,一切都看似“年代錯位”。猜想只是猜想,今時今日區塊鏈技術背景下的歐洲卻或許可借助區塊鏈技術,再次鞏固和振興歐洲經濟,雖然看似多中心化的理念與區域一體化稍顯矛盾,但歐盟卻有望將二者完美結合。[2018/5/14]
Q4:這個攻擊對幣安鏈有影響嗎?幣安鏈本身是安全的嗎?為什么要暫停幣安鏈?
Beosin:本次的攻擊主要受影響的項目為BNB Chian跨鏈橋BSC Token Hub,是BNB Chain的預編譯合約,因此幣安鏈其他模塊沒有受到影響,用戶自身的資產是安全的,不受此次事件的影響。暫停幣安鏈一方面是為了凍結被盜資金,以防資金被進一步轉移,另一方面為了避免潛在的攻擊。
Q5:在黑客攻擊成功后,在幣安要求下幣安鏈驗證者暫停了幣安鏈網絡運行,在社區引發不少爭議,怎么看幣安和幣安鏈的這一行為?
Beosin:幣安如果不進行暫停,被盜資金一旦被大規模轉移,可能再追回來就比較艱難了,我們認為幣安只能選擇暫停,盡管會造成很大的影響。
Q6:現在黑客多個地址被拉黑名單或者資產被凍結,這次黑客被盜資產結局會如何?
Beosin:本次攻擊獲利的大部分資金目前在幣安鏈上已經被凍結,應該沒有轉移的風險。但是黑客這次在攻擊成功的短時間內將不少的資金轉移到了多個鏈上,如果這些鏈沒有進行完全的凍結,這部分資金仍然有被轉移的風險。
Q7:此次幣安跨鏈橋被攻擊和之前的黑客攻擊有何異同?對社區有何新的啟示?
Beosin:以往的跨鏈橋攻擊通過線下漏洞或者是私鑰泄露等方式的攻擊較多,本次攻擊通過的構造特定的根哈希來構造出特定區塊的提款證明,從而使攻擊成立,攻擊難度比較大,并且數額較以往來說也比較高。本次事件也提醒了我們漏洞往往就在一些我們想不到的地方,因此只能不斷去完善項目安全,比別有用心者更早的去發現這些問題所在,才能夠更加維護我們的區塊鏈生態安全。
此外,BNB鏈在被攻擊后約12小時重新恢復運行,堪稱BNB鏈驚魂12小時。
金色財經整理了BNB鏈10月7日被黑客攻擊事件的時間線。
02:26~04:43:黑客從BNB Chain“代幣中心”獲200萬枚BNB,并在Venus抵押90萬枚借出約1.475億穩定幣
05:48:Tether已將BNB Chain攻擊者地址列入黑名單
06:35:BNB Chain:發現漏洞,已暫停網絡運行,正在調查潛在漏洞
07:51:趙長鵬:資金是安全的,BSC跨鏈橋漏洞導致產生額外的BNB
BNB Chain攻擊者向以太坊和Fantom共轉移約1億美元,BNB Chain受攻擊后BNB一度跌近5%
09:05~09:29:幣安:計劃與驗證者聯系進行節點升級,具體時間暫未確定
09:45:黑客地址與多個dApp進行過交互,轉移至Avalanche鏈上資產或已凍結
11:30:BNB Chain黑客地址當前余額超7億美元,
安全團隊稱:BNB Chain黑客布局最早可追溯到10月6日
13:02:BNB Chain發布BSC v1.1.15版本,所有節點運營者需升級
14:53:BNB Chain:BNB Chain網絡已恢復出塊開始恢復運行BNB Chain網絡
金色新聞匯
區塊精靈球
金色早8點
金色財經 子木
Block unicorn
DeFi之道
NFT中文社區
元宇宙之心MetaverseHub
金色財經Maxwell
月餅
-Kyle
金色數藏
10月12日,Mango遭到了黑客的攻擊,Mango在此次攻擊損失總計約1.16億美元,除此之外,Mango還遭受了黑客的另類攻擊,通過提案來對Mango進行攻擊.
1900/1/1 0:00:00來源:老雅痞 夜店經濟屬于荷爾蒙經濟,古老的經濟模型經久不衰。游戲其實也算荷爾蒙經濟,那么Web3游戲,可以從經典的夜店經濟里獲得什么新的靈感呢?推薦閱讀本文,絕對腦洞大開.
1900/1/1 0:00:00從工信部到各大央媒,從上市企業到國有資本,在近一年的時間里紛紛“扎堆”數字藏品市場,上線眾多優秀的數藏平臺及藏品.
1900/1/1 0:00:001、DeFi代幣總市值:437.4億美元 DeFi總市值及前十代幣 數據來源:coingecko2、過去24小時去中心化交易所的交易量14.
1900/1/1 0:00:00Paradigm 成立于 2018 年,是一家專注于加密貨幣領域的投資機構。Paradigm 的資方包括耶魯大學、哈佛大學以及斯坦福大學的捐贈基金.
1900/1/1 0:00:00CoinGecko考察了自 2020 年以來獨立或與合作伙伴推出可交易NFT 系列的歐美“傳統”品牌。隨著2021年帶起的NFT熱潮,有越來越多的品牌加入了 NFT 的行列.
1900/1/1 0:00:00