10月7日凌晨,黑客利用BNBChian跨鏈橋BSCTokenHub漏洞,分兩次共盜取200萬枚BNB。據分析,攻擊涉及的總金額超過7億美元,其中包含5.7億美元的BNB。
BNBChian是如何被攻擊的?黑客盜取金額具體有多少?黑客為何又是選取跨鏈橋攻擊?幣安鏈本身安全嗎?怎么看黑客攻擊后幣安鏈被暫停?被盜資產結局會如何?對社區有何新啟示?
上述問題用戶迫切想知道答案,金色財經就此采訪了區塊鏈安全公司Numen的安全研究員,看看安全研究員眼中的BNBChian跨鏈橋被攻擊事件是什么樣的。
Q1、10月7日BNBChian跨鏈橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB。請詳細講解一下這次黑客是如何攻擊幣安鏈的??
金色晚報 | 12月18日晚間重要動態一覽:12:00-21:00關鍵詞:新BTC期權、安徽、螞蟻鏈、Visa
1.Deribit上線行權價格為10萬美元的新BTC期權
2.朱民:央行的數字貨幣正在成為全球央行和金融市場競爭的制高點
3.安徽探索區塊鏈助農獲“世界數字農業十大技術成果” 螞蟻鏈提供技術支持
4.BB:B1持有的BTC遠超14萬枚,正開發產品使BTC不僅是價值儲存
5.疑似黑客地址留言索要270萬美金ETH,并公布NXM創始人地址
6.EthHub聯合創始人:比特幣將是整個以太坊網絡交易量中的一個子集
7.美國金融犯罪執法網絡招聘政策顧問以應對加密貨幣
8.支付處理商Visa研究報告提出離線央行數字貨幣支付方案[2020/12/18 15:42:55]
Numen:黑客的攻擊行為其實很簡單,首先從changenow.io獲得攻擊所需的成本,然后利用幣安跨鏈橋處理消息驗證的基礎庫的漏洞,兩次偽造提現惡意消息,導致跨鏈橋向黑客地址發送了兩筆BNB,每筆都是100萬個BNB,價值約600M美金。
金色財經挖礦數據播報 | BCH今日全網算力上漲6.86%:金色財經報道,據蜘蛛礦池數據顯示:
BTC全網算力105.240EH/s,挖礦難度15.78T,目前區塊高度635491,理論收益0.00000841/T/天。
ETH全網算力184.622TH/s,挖礦難度2355.72T,目前區塊高度10296391,理論收益0.00852723/100MH/天。
BSV全網算力1.989EH/s,挖礦難度0.28T,目前區塊高度640139,理論收益0.00045238/T/天。
BCH全網算力2.836EH/s,挖礦難度0.41T,目前區塊高度640362,理論收益0.00031732/T/天。[2020/6/20]
具體黑客如何構造proof以繞過消息驗證的方法我們還在研究,但可以確定的是BNBChian在跨鏈消息驗證機制方面,使用了cosmos的IAVL庫和Multistoreproof的早期版本代碼,且已經被證明有漏洞存在。
金色午報 | 2月6日午間重要動態一覽:7:00-12:00關鍵詞:德國金管局、烏干達、閃電網絡、Cosmos基金會、Cele
1. 德國金融監管局澄清外國加密貨幣托管人的申請許可程序。
2. 烏干達財政部再次發出加密資產投資警告。
3. 中國1月披露29個區塊鏈應用項目,全球披露項目數量環比下降43.2%。
4. 北京:為應對疫情影響,建議建設基于區塊鏈的供應鏈債權債務平臺。
5. 閃電網絡實驗室A輪融資1000萬美元 以升級支付系統和擴展開發者網絡。
6. Cosmos基金會ICF發表聲明:Cosmos屬于所有人 不由任何一方擁有。
7. Cardano創始人:Shelley激勵測試網已有約1000個質押池。
8. Celer投資人代幣解鎖完畢,擬于本月進行主網升級。
9. BTC現報9608美元,近24小時上漲4.13%,市值為1748.53億美元。[2020/2/6]
Q2、這次涉及的金額有說7.1億美元的,也有說5.6億美元的,這個金額到底是多少,該怎么算這個金額?
金色相對論 | 孫宇晨:區塊鏈行業發展會持續呈現由中美兩國主導的格局:在今日的金色相對論中,波場創始人孫宇晨發言指出:2019年是全球的區塊鏈創業生態蓬勃發展的一年。美國的區塊鏈從業者對于10.24的講話是非常振奮的。這向我們證明了不僅只有美國在發展區塊鏈,中國也在發展區塊鏈。如果美國對于區塊鏈從業者,對于區塊鏈行業,區塊鏈技術不夠友好,中國就將從容地接過美國的區塊鏈行業領先者地位。未來我認為整個區塊鏈的行業,還是會呈現由中美兩國主導發展的格局。[2020/1/23]
Numen:5.6億美金是按攻擊被發現時的BNB價格估算,而7.1億或許是在計算了venus的損失后做出的估計。黑客在攻擊完成后,通過venus借貸,抽干了借貸池中的USDT、BUSD、USDC等穩定幣。由于BNBChain及時做出了響應,采取了暫停節點、黑名單和凍結等措施,已經將直接損失降低到了1億美金左右。
Q3、這一次黑客選擇攻擊的又是跨鏈橋,為何跨鏈橋這么不安全?
Numen:任何有資金池的合約都很容易受到攻擊,因為黑客的直接目的是獲取更多的資金。由于很多跨鏈橋在處理資產跨鏈時采用的是質押機制,所以產生了很多數目可觀的資金池,吸引了黑客的注意。
具體到跨鏈橋的實現邏輯上,跨鏈橋有三種實現方式,公證人、哈希時間鎖和中繼鏈,其中哈希時間鎖機制相對安全,但只能支持資產的轉移,無法實現消息傳遞;中繼鏈實現復雜,通過區塊鏈的共識機制保障安全,其安全問題一般較為底層,黑客較難利用;而現在大部分跨鏈橋所采用的公證人機制,由于存在私鑰管理、消息驗證、合約操作等多個環節出現漏洞的可能性,所以出現了大量的安全事件。
Q4、這個攻擊對幣安鏈有影響嗎?幣安鏈本身是安全的嗎?為什么要暫停幣安鏈??
Numen:這個攻擊對幣安鏈本身的影響不大,只是一些經濟和品牌損失,幣安鏈在處理完此次攻擊事件后,仍然可以穩定運行,對于主網本身來說,再不涉及到跨鏈驗證的其他層面,由于fork了經過多年驗證的以太坊源碼,所以相對來說是安全的,但是安全圈有句話叫“世界上沒有安全的系統”,所以BNBchain的開發者們仍然不能掉以輕心。
暫停幣安鏈是一個正確的選擇,在底層機制出現問題的時候,應當暫停運行,待查清楚具體問題并修復后和處理完相關賬號和資產后,再重新運行。
Q5、在黑客攻擊成功后,在幣安要求下幣安鏈驗證者暫停了幣安鏈網絡運行,在社區引發不少爭議,怎么看幣安和幣安鏈的這一行為?
Numen:幣安暫停網絡其實是一個負責任的行為,如果繼續運行網絡,那所有BNBchain的生態都會受到重大影響,現在并不是爭論中心化還是去中心化的時候,我們共同的敵人是黑客。
Q6、現在黑客多個地址被拉黑名單或者資產被凍結,各位覺得這次黑客被盜資產結局會如何??
Numen:已經凍結和被幣安鏈鎖住的資產暫時是安全的,而已經通過跨鏈轉移到ETH、FTM等鏈上的資產,可能難以追回。
Q7、此次幣安跨鏈橋被攻擊和之前的黑客攻擊有何異同?對社區有何新的啟示?
Numen:此次攻擊時針對供應鏈的攻擊,黑客顯然對BNBchain的底層供應鏈比較熟悉,這點在之前的安全事件中比較少見。
對社區的啟發是技術人員應當對自己使用的庫和copy的代碼做到深入的了解,要明白他們的運行機制,并能夠review代碼中的問題,同時應該投入更多的資源在代碼審計上,由專業的第三方安全審計公司來進行多輪的審計,以保障項目的安全。
當RedditorJoeGreene在2018年開始Top10Cryptos實驗時,他購買了1,000美元的Dash、NEM和Iota等,但眼睜睜地看著它跌至150美元.
1900/1/1 0:00:00早期投資必須思考未來,我們最常聽到的一句話是未來已來,但到底未來是什么?未來會如何?確實難以判斷預測.
1900/1/1 0:00:00文:葉小釵 NFT一直被視為Web3的產物,有人認為如果不開放版權,那將不符合“價值回歸用戶”的Web3精神,NFT和數字藏品就是虛偽的命題.
1900/1/1 0:00:00「我們的首要任務是從中心化交易所巨頭手中抽走部分資金。」近日,UniswapLabs首席運營官Mary-CatherineLader表露了他的野望.
1900/1/1 0:00:009月16日,美國白宮發布了其首個負責任數字資產發展框架。該框架是對拜登總統3月行政令的回應,該行政令要求政府機構深入研究數字資產對美國經濟及其消費者構成的機遇和挑戰,以及對國家安全的影響.
1900/1/1 0:00:00質押和CCIP即將推出,這兩項重要變化會給Chainlink帶來什么? 撰寫:Lo 編譯:深潮TechFlow自推出以來,Chainlink已經成為DeFi的一個基本組成部分.
1900/1/1 0:00:00