By:?Kong
據慢霧區情報,2022年10月7日,BNBChian跨鏈橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB,超5.7億美元。慢霧安全團隊分析后以簡析的形式分享給大家。和?BNB鏈之間的跨鏈橋)
簡要分析
1.在BNBChain與BSC跨鏈的過程中,會由BSC上部署的跨鏈合約調用預編譯的0x65合約對提交的appHash、key、vaule、proof進行IVAL樹驗證。IAVL樹是AVL樹的變種即是一種為鍵值提供可驗證根的AVL樹的實現。
數據:一BNB大戶從Venus中撤出約2156萬枚BUSD:3月2日消息,鏈上數據顯示,一位BNB大戶(0xd1…c86b)在今日下午15:57從Venus中撤出了約2156萬枚BUSD存款。有推特用戶分享的數據截圖顯示,這使得Venus上BUSD存款利率一度飆升超過20%,貸款負利率逼近30%。[2023/3/2 12:38:55]
2.驗證主要由IAVLValueOp與MultiStoreProofOp兩個op進行,IAVLValueOp會先通過ComputeRootHash計算roothash并進行驗證。驗證通過后會將輸出的roothash給到MultiStoreProofOp,MultiStoreProofOp將檢查獲得的roothash是否與lightClient獲得的一致。
BNB Chain唯一地址數量超過以太坊:12月23日消息,BNB Chain最新發布的2022年度回顧數據顯示,BNB Chain獨立地址數量已超過以太坊。根據Etherscan數據顯示,以太坊目前擁有超過2.17億個唯一地址;而BscScan數據顯示,當前BNB Chain唯一地址數量已超過2.33億個。
不過相比于比特幣,BNB Chain和以太坊規模依然較小,比特幣網絡擁有超過10億個唯一地址,比BNB Chain和以太坊總和還要大。(Cointelegraph)[2022/12/23 22:02:54]
派盾:Bnbinsane發生Rug Pull,官方團隊疑似跑路:4月22日消息,派盾發推文表示,BNB Chain上協議Bnbinsane發生Rug Pull,目前已刪除其官方推特帳戶和Telegram群組,Bnbinsane合約所有者已將1800枚BNB(約74萬美元)轉入Tornado Cash。[2022/4/22 14:41:53]
3.ComputeRootHash將通過leafhash與restpath(innernode)進行遞歸hash并檢查是否與lastpathnode的right一致。
Airbnb聯合創始人兼CEO:正認真考慮接受加密支付:3月18日消息,Airbnb聯合創始人兼CEO Brian Chesky在接受彭博社采訪時表示,正積極研究加密技術,并認真考慮接受加密支付。這有可能是Airbnb最受歡迎的功能。
此前報道,1月5日,Brian Chesky在個人社交媒體平臺發文表示,通過加密貨幣實現預訂住宿是今年的首要目標。[2022/3/18 14:05:39]
4.而在具體的leafnode與innernode的哈希計算中我們可以看到當left為空時將計算leaf與right的hash,當right為空時將計算leaf與left的hash。但當left與right都存在的情況下,那么將忽略right,計算leaf與left的hash,即roothash將不會受right影響。
5.因此我們可以知道在path中,當left與right都存在的情況下將忽略right,返回leaf與left的hash,在遞歸哈希檢查中則會檢查此hash與lastpathnode的right是否一致。這就出現了在遞歸檢查中檢查了right,而在roothash計算中卻又忽略了right的情況。導致攻擊者可以在path中加入一個leaf與innernode的hash作為lastpathnode的right并添加一個空的innernode確保可驗證。使得在保持roothash不受影響的情況下插入了惡意的數據以竊取資金。
MistTrack分析
據慢霧?MistTrack反洗錢追蹤系統分析,這次黑客攻擊的初始資金來自ChangeNOW。
本次攻擊事件的黑客地址曾與多個DApp交互,包括Multichain、VenusProtocol、AlpacaFinance、Stargate、Curve、Uniswap、TraderJoe、PancakeSwap、SushiSwap等。此外,黑客轉移至以太坊上的?480萬?USDT?已被?Tether?列入黑名單,AVAX上的170萬USDT已被列入黑名單,Arbitrum上的200萬枚USDT已被列入黑名單。而由于BNBChain的及時暫停,黑客在BSC上的超4.1億美元已無法轉移。10月8日,黑客地址轉移約33,771枚ETH至0xFA0a3開頭的新地址,約合?4,500萬美元。
慢霧MistTrack將持續監控被盜資金的轉移。
Tags:BNBASHHASHGHTBABY BNBzcash幣上交易所時間Hashtaggergreenlightplanet
黑暗森林中的攻擊手法和防范措施。本文來自?Medium,原文作者:KofiKufuor,由Odaily星球日報譯者Katie辜編譯。 黑客今年從加密應用程序中竊取了20多億美元.
1900/1/1 0:00:00優質項目為什么搬家到選擇BNBChain股票在長期的運作中能夠表現出一定的特性或規律,就像是一個人的性格一樣,為此我們將其稱之為「股性」.
1900/1/1 0:00:00Web3游戲的現狀 過去十年中,從面向主機和PC的付費游戲到免費增值的手機游戲,游戲體驗和商業模式都隨著技術進步而發生了變化.
1900/1/1 0:00:00不出意外,加密市場能否迎來一波觸底反彈?原文標題:《除了加息75基點本周美聯儲會議還有啥看點?看加息代價多「痛苦」鮑威爾多鷹派?》 撰文:李丹 來源:華爾街見聞 本周美聯儲公布的預期利率水平點陣.
1900/1/1 0:00:00毫無疑問,科技的進步往往是最受人關注的。這不僅是因為科技進步本身代表著人類不斷向前躍進的步伐,還因為科技進步往往會促進人類社會和時代的發展,極大地改善人類的生活.
1900/1/1 0:00:00DeBox是一款新晉的基于DIDWeb3社交資訊平臺。持有Token和NFT用戶可以以無需許可方式加入對應的群組,可以自發組建DAO社區及NFT社區,DeBox更像一個Web3社群管理工具.
1900/1/1 0:00:00