宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > MATIC > 正文

金色观察 | 安全研究员眼中的BNB Chian跨链桥被攻击事件

作者:

时间:1900/1/1 0:00:00

10月7日凌晨,黑客利用BNBChian跨链桥BSCTokenHub漏洞,分两次共盗取200万枚BNB。据分析,攻击涉及的总金额超过7亿美元,其中包含5.7亿美元的BNB。

BNBChian是如何被攻击的?黑客盗取金额具体有多少?黑客为何又是选取跨链桥攻击?币安链本身安全吗?怎么看黑客攻击后币安链被暂停?被盗资产结局会如何?对社区有何新启示?

上述问题用户迫切想知道答案,金色财经就此采访了区块链安全公司Numen的安全研究员,看看安全研究员眼中的BNBChian跨链桥被攻击事件是什么样的。

Q1、10月7日BNBChian跨链桥BSCTokenHub遭遇攻击。黑客利用跨链桥漏洞分两次共获取200万枚BNB。请详细讲解一下这次黑客是如何攻击币安链的??

金色午报 | 8月16日午间重要动态一览:7:00-12:00关键词:以太坊、Nubank、沃尔玛、NFT

1.以太坊销毁ETH数量突破5万枚;

2.伊朗证券交易机构:央行应监管加密货币;

3.Solana(SOL)市值突破160亿美元,跻身市值排行榜第十位;

4.全球13家大银行已向加密和区块链领域投资30亿美元;

5.加密友好银行Nubank计划上市筹集20亿美元;

6.零售巨头沃尔玛寻求聘用数字、加密货币主管;

7.联合广场风投创始合伙人:NFT为加密行业的“下一件大事”指明方面;

8.市值排名前100名NFT代币总市值突破250亿美元。[2021/8/16 22:16:33]

Numen:黑客的攻击行为其实很简单,首先从changenow.io获得攻击所需的成本,然后利用币安跨链桥处理消息验证的基础库的漏洞,两次伪造提现恶意消息,导致跨链桥向黑客地址发送了两笔BNB,每笔都是100万个BNB,价值约600M美金。

金色晨讯 | 12月17日隔夜重要动态一览:21:00-7:00关键词:比特币21500美元、以太坊期货、币安宕机

1.芝加哥交易所集团将于2021年2月8日推出以太坊期货;

2.比特币突破20000美元大关之际 币安交易所APP出现宕机;

3.比特币总市值突破3900亿美元 续刷历史新高;

4.美国运通投资加密货币交易平台FalconX;

5.灰度资产管理总规模升至137亿美元;

6.嘉信理财高管:比特币已成为主流投资;

7.Filecoin将发布Lotusv1.3.0候选版本;

8.美股三大指数收盘涨跌互现 区块链概念股普遍收涨;

9.Plasm官方:Plasm将在Polkadot上达成ETH2.0;

10.比特币夜间持续上涨,日内最低报20550美元,最高报21563.83美元。[2020/12/17 15:28:49]

具体黑客如何构造proof以绕过消息验证的方法我们还在研究,但可以确定的是BNBChian在跨链消息验证机制方面,使用了cosmos的IAVL库和Multistoreproof的早期版本代码,且已经被证明有漏洞存在。

金色晚报 | 6月30日晚间重要动态一览:12:00-21:00关键词:区块链创新发展行动计划、门头沟、CSW、Cardano

1.《北京市区块链创新发展行动计划》印发 将初步建成四个“高地”。

2.门头沟清算赔偿方案再次推迟至10月15日。

3.韩国科技部将投资1.11亿美元用于发展区块链技术。

4.Cardano已完成Shelley硬分叉升级协调器测试。

5.Kleinman与CSW诉讼案出现关键证人。

6.国际清算银行将在多地设立分支 推进分布式账本技术。

7.腾讯区块链加速器开启复试 助力产业区块链价值落地。

8.“区块链之家”正式上线国家互联网应急中心官网。

9.加州大学向黑客支付百万美元加密赎金。

10.国家卫生健康委:应用区块链等技术实现医疗数据安全流动和授权访问。[2020/6/30]

Q2、这次涉及的金额有说7.1亿美元的,也有说5.6亿美元的,这个金额到底是多少,该怎么算这个金额?

金色财经行情播报 | 今日BTC行情开始窄幅整理:据火币行情显示,截至19:00,今日BTC行情开始窄幅整理,日线级别MA5均线依托上涨趋势延续,4小时图上看,上升楔形蓄势充裕,整体表现较为稳健。[2020/4/9]

Numen:5.6亿美金是按攻击被发现时的BNB价格估算,而7.1亿或许是在计算了venus的损失后做出的估计。黑客在攻击完成后,通过venus借贷,抽干了借贷池中的USDT、BUSD、USDC等稳定币。由于BNBChain及时做出了响应,采取了暂停节点、黑名单和冻结等措施,已经将直接损失降低到了1亿美金左右。

Q3、这一次黑客选择攻击的又是跨链桥,为何跨链桥这么不安全?

Numen:任何有资金池的合约都很容易受到攻击,因为黑客的直接目的是获取更多的资金。由于很多跨链桥在处理资产跨链时采用的是质押机制,所以产生了很多数目可观的资金池,吸引了黑客的注意。

具体到跨链桥的实现逻辑上,跨链桥有三种实现方式,公证人、哈希时间锁和中继链,其中哈希时间锁机制相对安全,但只能支持资产的转移,无法实现消息传递;中继链实现复杂,通过区块链的共识机制保障安全,其安全问题一般较为底层,黑客较难利用;而现在大部分跨链桥所采用的公证人机制,由于存在私钥管理、消息验证、合约操作等多个环节出现漏洞的可能性,所以出现了大量的安全事件。

Q4、这个攻击对币安链有影响吗?币安链本身是安全的吗?为什么要暂停币安链??

Numen:这个攻击对币安链本身的影响不大,只是一些经济和品牌损失,币安链在处理完此次攻击事件后,仍然可以稳定运行,对于主网本身来说,再不涉及到跨链验证的其他层面,由于fork了经过多年验证的以太坊源码,所以相对来说是安全的,但是安全圈有句话叫“世界上没有安全的系统”,所以BNBchain的开发者们仍然不能掉以轻心。

暂停币安链是一个正确的选择,在底层机制出现问题的时候,应当暂停运行,待查清楚具体问题并修复后和处理完相关账号和资产后,再重新运行。

Q5、在黑客攻击成功后,在币安要求下币安链验证者暂停了币安链网络运行,在社区引发不少争议,怎么看币安和币安链的这一行为?

Numen:币安暂停网络其实是一个负责任的行为,如果继续运行网络,那所有BNBchain的生态都会受到重大影响,现在并不是争论中心化还是去中心化的时候,我们共同的敌人是黑客。

Q6、现在黑客多个地址被拉黑名单或者资产被冻结,各位觉得这次黑客被盗资产结局会如何??

Numen:已经冻结和被币安链锁住的资产暂时是安全的,而已经通过跨链转移到ETH、FTM等链上的资产,可能难以追回。

Q7、此次币安跨链桥被攻击和之前的黑客攻击有何异同?对社区有何新的启示?

Numen:此次攻击时针对供应链的攻击,黑客显然对BNBchain的底层供应链比较熟悉,这点在之前的安全事件中比较少见。

对社区的启发是技术人员应当对自己使用的库和copy的代码做到深入的了解,要明白他们的运行机制,并能够review代码中的问题,同时应该投入更多的资源在代码审计上,由专业的第三方安全审计公司来进行多轮的审计,以保障项目的安全。

标签:BNB区块链NBCBNBCHwbnb币是什么区块链证据保全怎么操作nbc币是什么BNBCH价格

MATIC热门资讯
HuobiGlobal控股股东完成股份出售

全球顶级虚拟资产交易所HuobiGlobal今天宣布,HuobiGlobal控股股东公司已向百域资本旗下基金转让所持有的全部HuobiGlobal股份,百域资本旗下并购基金成为HuobiGlobal的第一大股东和实控人.

1900/1/1 0:00:00
闪电网络:历史与现实

初心 AaronVanWirdum的《闪电网络的历史:从头脑风暴,到测试版本》记录了2018年前闪电网络的有趣历史.

1900/1/1 0:00:00
金色观察 | SEC vs. BAYC 业内人士如何看待这场“斗争”?

金色财经区块链10月19日讯近日美国证券交易委员会调查YugaLabs的消息引发了NFT世界巨大震动。YugaLabs是无聊猿BAYC的母公司,因无聊猿BAYC出圈而成为加密货币领域最突出的品牌之一.

1900/1/1 0:00:00
全方位解读Web3域名:DID基石、NFT新增长点

原文作者:小牛 1.Web3域名在NFT市场整体低迷的背景下表现出色;2.Web3域名有庞大的用户群体和巨大的上升空间;3.Web3域名是用户重要的Web3身份凭证,可使用域名访问全链应用;4.Web3域名长期来看使用大于炒作.

1900/1/1 0:00:00
Aptos和Sui:一场Move上的L1对决

摘要: 从融资、技术和生态等方面详谈Aptos和Sui 来源:DeFi之道 作者:CodyGarrison 01简介 “L1战争”是2020-2021周期中广为人知的故事.

1900/1/1 0:00:00
先爆火再遇冷 元宇宙能否托起梦想?

美国在线游戏创作平台Roblox的成功上市让元宇宙概念瞬间爆火,随后全球科技巨头、各路资本争相布局,试图占领下一代互联网的制高点。然而,海外巨头脸书母公司Meta二季度业绩不及预期,股价一路暴跌;腾讯也宣布停止旗下数字藏品发行.

1900/1/1 0:00:00