BNB:黑客盗取币安链200万枚BNB过程全解析_HAI

「事件回顾」币安链遭遇有史以来金额最大的黑客攻击

10月7日凌晨,BNBChain遭遇了黑客攻击,攻击涉及的总金额达到7亿美元,其中包含5.7亿美元的BNB。据币安创始人赵长鹏所说,这场震动整个行业的“攻击”主要原因是跨链桥“代币中心”上的一个漏洞导致的。

就此事,金色财经对整个“攻击”事件的进行了整理,方便大家观看,同时邀请到Beosin安全团队将手法进行解析。

攻击方式如下:

币安跨链桥BSCTokenHub在进行跨链交易验证时,使用了一个特殊的预编译合约用于验证IAVL树。而该实现方式存在漏洞,该漏洞可能允许攻击者伪造任意消息。

1)攻击者先选取一个提交成功的区块的哈希值

2)然后构造一个攻击载荷,作为验证IAVL树上的叶子节点

3)在IAVL树上添加一个任意的新叶子节点

4)同时,添加一个空白内部节点以满足实现证明

ConsenSys推出学习模拟平台MetaMask Learn,以帮助用户了解Web3:金色财经报道,ConsenSys宣布推出学习模拟平台MetaMask Learn,以帮助用户在web3和自我托管钱包的世界中自我定位。据悉,MetaMask Learn是一个免费平台,支持有10种语言,将提供一个交互式的MetaMask UI环境,以帮助那些刚接触自我托管的人,并指导用户使用最常用的功能以帮助他们开始了解web3。[2023/2/1 11:39:27]

5)调整第3步中添加的叶子节点,使得计算的根哈希等于第1步中选取的提交成功的正确根哈希

6)最终构造出该特定区块的提款证明BeosinTrace正在对被盗资金进行实时追踪。

事件时间轴如下:

10月7号00:55

黑客于区块高度?21955968?通过调用合约缴纳100BNB注册成为Relayer。

2:26~4:43

调查:超过一半的南非受访者对加密货币几乎没有了解:金色财经消息,根据Merchants的2022年第一季度消费者调查,53%的南非受访者对加密货币。调查还发现,只有14%的南非人认为他们对加密货币的话题很了解,而23%的受访者保持“中立”。调查显示,18至24岁的人群最有可能对加密货币有更多的了解,而25岁以上的人则不太可能了解加密货币的话题。

此外,几乎一半的受访者表示,如果加密货币是通过他们的银行提供的,他们将更有可能信任和投资于加密货币。(IOL)[2022/7/27 2:40:49]

黑客从BNBChain的“代币中心”系统合约分两次共获取了200万枚BNB。

并将其中90万枚BNB在BNBChain上借贷协议Venus进行抵押,借出6250万BUSD、5000万USDT、3500万USDC。此外,据社媒账号CIAOfficer的独立分析师表示,此次黑客攻击目前包括104万枚BNB、价值3.89亿美元的venusBNB,以及2800万美元BUSD,共7.18亿美元。该金额为史上最大链上攻击。

马来西亚证券委员会Modh:加密技术具有巨大潜力 但该国对其缺乏了解:马来西亚证券委员会(SC)伊斯兰教顾问委员会主席Modh Daud Bakar表示,加密技术具有巨大的潜力,但在该国的应用面临着对该资产类别缺乏了解的挑战。他表示,只有2%的马来西亚人对加密货币有所了解。他称,“加密货币是一种交换媒介,我们不能阻止人们使用它作为交换媒介,这和在市场上购买电子机票或商品一样。”(Cointelegraph)[2020/10/8]

5:48

TheBlock研究员EdenAu发推表示,Tether已将BNBChain攻击者地址列入黑名单,此外,攻击者还持有4500万美元以上的ETH。

花旗高管:对区块链技术的了解正帮助花旗提升用户体验:据花旗集团大宗商品贸易融资全球负责人Kris Van Broekhoven表示,花旗非常重视贸易数字化,贸易数字化是花旗加入Komgo区块链平台的主要原因之一。花旗对区块链技术的了解正在帮助其为客户提供更好的体验。客户希望数字工具能带来好的用户体验,同时提高效率降低成本,并减少欺诈。注:Komgo平台依靠区块链技术来优化融资流程,打击欺诈并提高贸易效率。花旗是早期加入平台的创始成员之一。(DailyHodl)[2020/3/11]

6:19~6:35

BNBChain发推表示,由于活动异常,目前正在维护中,暂时暂停所有通过BNB链的存取款,直到有进一步的更新。“我们在确定潜在漏洞后暂停了BNBChain,所有系统现在都被控制住了,我们正在调查潜在的漏洞,我们知道共同体将协助并帮助冻结任何转账”。BNBChain在另一推文表示,被提取资金约7000万至8000万美元,已冻结700万美元。据悉,本次黑客攻击导致包含200万枚BNB在内的约价值7.18亿美元资产被盗取。

声音 | LedgerX前首席执行官:董事会的其他人不了解计算机科学、比特币和衍生品:金色财经报道,加密货币衍生品平台LedgerX今天宣布,其联合创始人Paul和Juthica Chou已被行政停职。对此,此前担任首席运营官的Juthica Chou刚刚发推文称,除了我们与董事会就业务愿景和方向存在长期分歧外,(LedgerX)没有给出任何其他原因。Juthica还通过电子邮件告诉CoinDesk,董事会的组成难以捉摸。董事会中没有其他人了解计算机科学、比特币和衍生品,这使得这些冲突和分歧常常很难解决。[2019/12/10]

7:51

币安CEO赵长鹏发推表示,在BNBChain跨链桥“代币中心”上的一个漏洞导致了额外的BNB,已要求所有验证者暂时暂BNBChain,这个问题现在得到了控制,资金是安全的,将相应地提供进一步的更新。

8:47

Paradigm研究员samczsun在社交媒体上发文表示,链上数据及相关代码显示,BSC跨链桥的验证方式存在BUG,该BUG可能允许攻击者伪造任意消息。本次攻击中,攻击者伪造信息通过了BSC跨链桥的验证,使跨链桥向攻击者地址发送了200万枚BNB。

9:00

数据显示,BNBChain漏洞攻击者使用跨链桥Stargate和Multichain等进行资产转移,分别向以太坊和Fantom网络发送约5335万美元和4880万美元,BNBChain上仍有约4.3亿美元。

9:22

BNBChain官方在社交媒体上发文表示,已要求BNBChain节点验证者在未来几个小时内与其联系,以便可以计划进行节点升级。

9:29

币安创始人赵长鹏转发推特表示:“暂时无法给出具体的升级预计时间,币安给开发人员时间来充分了解本次事件的根本原因,实施修复并进行深度测试,然后再继续。”

9:45

慢雾SlowMist在社交媒体上发文表示,已监控到本次BNBChain被盗案黑客地址与多个dApp进行过交互,包括Multichain、VenusProtocol、AlpacaFinance、Stargate、Curve、Uniswap、TraderJoe、PancakeSwap、SushiSwap等。

此外,黑客转移至Avalanche链上的相关地址或已被列入黑名单,但转移至Arbitrum的地址暂时并未被列入。

11:30

据欧科云链链上卫士安全团队监测,截至当前时间,该黑客地址下余额有102万枚BNB、4128万枚vBNB、2881万枚BUSD、277万枚USDT,按当前市场价格计算,累计价值超7亿美元。此次黑客事件损失超过上次RoninNetwork6.2亿美元,是至今为止被黑金额最高的事件。

此次案件黑客最早于10月6日便使用ChangeNOW服务转入了起始攻击资金到BSC链上,随后黑客通过调用系统RelayerHub合约0x1006进行注册,然后对系统CrossChain合约0x2000发起攻击。

1:02

10月7日消息,BNBChain发推称,已发布BSCv1.1.15版本,BSC验证者正在协调,以寻求在1小时内恢复BNB智能链。新版本将阻止黑客账户相关活动。BNB信标链和BNB智能链之间的原生跨链通信已禁用。官方要求所有节点运营者尝试升级至上述版本。验证者和社区将讨论进一步升级以完全解决此问题。

2:53

BNBChain发推称,BNB智能链20多分钟前开始良好运行。验证者正在确认他们的状态,社区基础设施也在升级。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

大币网

[0:15ms0-4:523ms