宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > AAVE > 正文

BNB CrossChain Bridge 被黑简析

作者:

时间:1900/1/1 0:00:00

By:?Kong

据慢雾区情报,2022年10月7日,BNBChian跨链桥BSCTokenHub遭遇攻击。黑客利用跨链桥漏洞分两次共获取200万枚BNB,超5.7亿美元。慢雾安全团队分析后以简析的形式分享给大家。和?BNB链之间的跨链桥)

简要分析

1.在BNBChain与BSC跨链的过程中,会由BSC上部署的跨链合约调用预编译的0x65合约对提交的appHash、key、vaule、proof进行IVAL树验证。IAVL树是AVL树的变种即是一种为键值提供可验证根的AVL树的实现。

币安将支持pNetwork恢复计划,为pGALA(BEP20)持币用户空投BNB(BEP20):11月8日消息,据官方公告,币安宣布将支持pNetwork(PNT)恢复计划,为pGALA(BEP20)持币用户空投BNB(BEP20)。pGALA(BEP20)代币定义为2022年11月04日03:49至2022年11月07日16:00之间,通过BNB Smart Chain(BEP20)网络充值到币安的GALA代币。根据pNetwork (PNT)团队恢复计划中所述,最终快照时间为2022年11月07日16:00。[2022/11/8 12:32:01]

2.验证主要由IAVLValueOp与MultiStoreProofOp两个op进行,IAVLValueOp会先通过ComputeRootHash计算roothash并进行验证。验证通过后会将输出的roothash给到MultiStoreProofOp,MultiStoreProofOp将检查获得的roothash是否与lightClient获得的一致。

BurnBNB:目前已经销毁112800枚BNB:金色财经消息,BurnBNB发推特表示,自BEP-95实时销毁升级以来,已经销毁了112,800枚BNB(价值45,595,800美元)。[2022/8/20 12:37:31]

BNB巨鲸钱包购买价值超过217万美元的SAFEMOON:1月2日消息,据WhaleStats数据显示,排名第16的BNB巨鲸钱包地址购买831,118,262,630枚SafeMoon(SAFEMOON),价值2177529美元。[2022/1/2 8:20:28]

3.ComputeRootHash将通过leafhash与restpath(innernode)进行递归hash并检查是否与lastpathnode的right一致。

OKEx Jay Hao推特喊话CZ:收购CMC不如回购BNB:针对Binance将4亿美元收购加密数据网站CoinMarketCap的新闻,OKEx CEO Jay Hao今日在推特发表评论并/img/20230515171351240955/4.jpg "/>

5.因此我们可以知道在path中,当left与right都存在的情况下将忽略right,返回leaf与left的hash,在递归哈希检查中则会检查此hash与lastpathnode的right是否一致。这就出现了在递归检查中检查了right,而在roothash计算中却又忽略了right的情况。导致攻击者可以在path中加入一个leaf与innernode的hash作为lastpathnode的right并添加一个空的innernode确保可验证。使得在保持roothash不受影响的情况下插入了恶意的数据以窃取资金。

MistTrack分析

据慢雾?MistTrack反追踪系统分析,这次黑客攻击的初始资金来自ChangeNOW。

本次攻击事件的黑客地址曾与多个DApp交互,包括Multichain、VenusProtocol、AlpacaFinance、Stargate、Curve、Uniswap、TraderJoe、PancakeSwap、SushiSwap等。此外,黑客转移至以太坊上的?480万?USDT?已被?Tether?列入黑名单,AVAX上的170万USDT已被列入黑名单,Arbitrum上的200万枚USDT已被列入黑名单。而由于BNBChain的及时暂停,黑客在BSC上的超4.1亿美元已无法转移。10月8日,黑客地址转移约33,771枚ETH至0xFA0a3开头的新地址,约合?4,500万美元。

慢雾MistTrack将持续监控被盗资金的转移。

标签:BNBHASHASHROOtogetherbnb最新版本下载metahashBitcoin Cash ABCVROOM

AAVE热门资讯
金色晨讯 | 10月25日隔夜重要动态一览

21:00-7:00关键词:马斯克、Twitter、MakerDAO、Liquality1.美国白宫:有关对马斯克进行国家安全审查的消息不实;2.SEC主席:加密货币市场存在"中心化"现象;3.

1900/1/1 0:00:00
Web3技术之数据合规重要性

?近年来,随着《数据安全法》《个人信息保护法》等法律的日臻完善,网络运行和数据要素的安全合规已经逐渐成为各大企业合规关注的重点,特别是对于数据驱动型的Web3行业来说,保障各类数据安全更是重中之重.

1900/1/1 0:00:00
观点:我为什么不看好Blur?

来源:dily.eth推文“Blur是一款满足极少用户的产品,而且目前跨链交易的Gas费控制极差.

1900/1/1 0:00:00
Web3 如何走向主流:除时间外 这 3 个关键领域值得关注

撰文:Zeneca_33我刚从拉斯维加斯的W3BX博览会上呆了一周回来。此次参会,我参加了11个小组讨论。我遇到了数百人,包括几十个对Web3和NFT世界完全陌生的人.

1900/1/1 0:00:00
46万人申购王思聪的数字藏品

46万人争夺,以2500份用于公开申购的藏品计算,首发中签率不足千分之六。跟王思聪有关的数字藏品平台名堂MintTown,在发售第一天就迎来一众玩家哄抢.

1900/1/1 0:00:00
漏洞早已存在数月?Temple DAO遭受攻击损失230万美元事件分析

北京时间2022年10月11日21:11:11,CertiKSkynet天网检测到项目TempleDAO遭到黑客攻击,损失约230万美元。攻击发生的主要原因是migrateStake函数没有检查输入的oldStaking参数.

1900/1/1 0:00:00