By: Kong
據慢霧區情報,2022 年 10 月 7 日,BNB Chian 跨鏈橋 BSC Token Hub 遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取 200 萬枚 BNB,超 5.7 億美元。慢霧安全團隊分析后以簡析的形式分享給大家。(注:BSC Token Hub 是 BNB 信標鏈(BEP2)和 BNB 鏈(BEP20 或 BSC)之間的跨鏈橋)
簡要分析
1. 在 BNB Chain 與 BSC 跨鏈的過程中,會由 BSC 上部署的跨鏈合約調用預編譯的 0x65 合約對提交的 appHash、key、vaule、proof 進行 IVAL 樹驗證。IAVL 樹是 AVL 樹的變種即是一種為鍵值提供可驗證根的 AVL 樹的實現。
BNB Chain上項目VPANDA DAO發生Rug Pull:金色財經報道,據SharkTeam鏈上分析平臺ChainAegis安全監測顯示:BNB Chain上項目VPANDA DAO發生Rug Pull,被盜資金約26.5萬枚BUSD,轉入地址0x33d2a493cea00918b02239604b94ad906d6eaf65。[2023/6/20 21:48:39]
2. 驗證主要由 IAVLValueOp 與 MultiStoreProofOp 兩個 op 進行,IAVLValueOp 會先通過 ComputeRootHash 計算 roothash 并進行驗證。驗證通過后會將輸出的 roothash 給到 MultiStoreProofOp,MultiStoreProofOp 將檢查獲得的 roothash 是否與 lightClient 獲得的一致。
徐明星:若BNB市值超過BTC,加密行業將失敗:11月8日消息,OKGroup創始人徐明星在社交媒體上發文表示:去中心化是加密行業的基礎。如果Binance獲得100%的市場份額并且BNB市值超過BTC,該行業將失敗,CZ將失去一切。幫助FTX從當前的謠言中恢復是CZ的最佳選擇。[2022/11/8 12:31:49]
3. ComputeRootHash 將通過 leaf hash 與 rest path(innernode) 進行遞歸 hash 并檢查是否與 last path node 的 right 一致。
分析 | BNB下降趨勢線附近消磨震蕩 等待蓄力突破:分析師K神表示,盤面上看,BNB依然受阻于6月22日觸頂近40美元19年高點回落的下降趨勢線壓制,前幾天在幣安開放OTC利好的推動下,第三次向上觸碰下降趨勢線,依舊未能形成有效突破,價格再次跌落下來,日線連續收出下插針形態,說明下方有資金承接籌碼,而且并未擴大跌幅,回調量能相對處于縮量態勢,很可能是主力的洗盤手法,預計近期將處于5日線附近來回波動,清洗前期獲利盤消化上方阻力后,將有可能向上蓄力突破, 支撐19美元,壓力位21美元。[2019/11/1]
4. 而在具體的 leafnode 與 innernode 的哈希計算中我們可以看到當 left 為空時將計算 leaf 與 right 的 hash,當 right 為空時將計算 leaf 與 left 的 hash。但當 left 與 right 都存在的情況下,那么將忽略 right,計算 leaf 與 left 的 hash,即 roothash 將不會受 right 影響。
聲音 | Weiss Ratings:BNB之所以成功是因為它是中心化的,有趣:加密貨幣評級機構Weiss Ratings發推稱:“因為BNB是中心化的,它的創建者不斷地為它創建新的用例,這增加了它的市場價值,使得資產能夠繼續運轉。BNB之所以成功,是因為它是中心化的。有趣。”[2019/7/26]
5. 因此我們可以知道在 path 中,當 left 與 right 都存在的情況下將忽略 right,返回 leaf 與 left 的 hash,在遞歸哈希檢查中則會檢查此 hash 與 last path node 的 right 是否一致。這就出現了在遞歸檢查中檢查了 right,而在 roothash 計算中卻又忽略了 right 的情況。導致攻擊者可以在 path 中加入一個 leaf 與 innernode 的 hash 作為 last path node 的 right 并添加一個空的 innernode 確保可驗證。使得在保持 roothash 不受影響的情況下插入了惡意的數據以竊取資金。
MistTrack 分析
據慢霧 MistTrack 反洗錢追蹤系統分析,這次黑客攻擊的初始資金來自 ChangeNOW。
本次攻擊事件的黑客地址曾與多個 DApp 交互,包括 Multichain、Venus Protocol、Alpaca Finance、Stargate、Curve、Uniswap、Trader Joe、PancakeSwap、SushiSwap 等。此外,黑客轉移至以太坊上的 480 萬 USDT 已被 Tether 列入黑名單,AVAX 上的 170 萬 USDT 已被列入黑名單,Arbitrum 上的 200 萬枚 USDT 已被列入黑名單。而由于 BNB Chain 的及時暫停,黑客在 BSC 上的超 4.1 億美元已無法轉移。10 月 8 日,黑客地址轉移約 33,771 枚 ETH 至 0xFA0a3 開頭的新地址,約合 4,500 萬美元。
慢霧 MistTrack 將持續監控被盜資金的轉移。
慢霧科技
個人專欄
閱讀更多
金色財經Maxwell
Bankless
金色薦讀
FastDaily
中國金融雜志
巴比特資訊
元宇宙之道
來源:老雅痞 區塊鏈技術怎樣與實體經濟更好的結合一直是我們研究的一個方向,目前看來,餐廳這條路是很多人首選的嘗試。具體怎么玩,讓我們看看最近剛拿到融資的Blackbird是怎么做的.
1900/1/1 0:00:00據官網公告,ZT已經上線積分商城,目前用戶可以在APP端進行操作。積分商城是ZT為用戶提供的福利專區,用戶完成任務后可獲得對應獎勵.
1900/1/1 0:00:00隨著今年加密貨幣價格的波動,NFT和其他生態子系統的投資者發現自己也陷入了熊市。然而,除了表示以太坊(ETH)的交易價值,NFT主要是作為現實和虛擬世界中資產和所有權的象征.
1900/1/1 0:00:00撰寫:azf.eth Web3 的未來不僅僅只是 PFP 小圖片、NFT 市場、CEXs/DEXs 和 DeFi 協議。為了使 Web3 達到主流高度,更多的工具需要圍繞大一統的生態系統來構建.
1900/1/1 0:00:00作為全球科技界和游戲業的“當紅炸子雞”,Metaverse最近可以說是越來越熱,今年3月份的時候,該詞匯的谷歌趨勢指數達到了100,達到有史以來的最高點.
1900/1/1 0:00:00截至2021年初以來,要說鏈圈最大兩件事兒無非是ETH 2.0向layer-2的折中過渡,以及隨著插槽拍賣帶來的波卡生態的全面爆發。在公鏈賽道上, 波卡一直被給予厚望,幣價也是一路水漲船高.
1900/1/1 0:00:00