Web3第一大黑客事件 攻擊涉及總金額超8.5億美元 BNB Chain遭受攻擊分析_CHA:BNB

北京時間2022年10月7日，據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示，BNB Chain跨鏈橋“代幣中心”（Token Hub）遭遇黑客攻擊，由于涉及的金額較為龐大，并且涉及多個鏈之間的跨鏈，根據成都鏈安安全團隊的整理與追蹤，目前整理出7.1億美元是幣安鏈上未涉及跨鏈部分的被盜資產，加上跨鏈部分的被盜資產，我們初步估計涉及金額在8.5億左右。

這場震動整個行業的“攻擊”事件因何發生，關于本次事件，成都鏈安安全團隊第一時間進行了分析。

北京時間10月7日6點左右，BNB Chain發推表示，由于活動異常，目前正在維護中，暫時暫停所有通過BNB鏈的存取款，直到有進一步的更新。

BNB Chain在另一推文表示，被提取資金約7000萬至8000萬美元，已凍結700萬美元。

7點41分，幣安CEO趙長鵬發推表示，在BNB Chain跨鏈橋“代幣中心”（Token Hub）上的一個漏洞導致了額外的BNB，已要求所有驗證者暫停BNB Chain，這個問題現在得到了控制，資金是安全的，將相應地提供進一步的更新。

波場TRON冠名贊助的Web3會議WebX明日開幕，孫宇晨將發表主題演講:據最新消息，亞洲最大的Web3會議WebX將于明日在日本東京拉開帷幕，波場TRON將作為冠名贊助商參與本次大會。屆時，波場TRON創始人孫宇晨將發表主題演講并參與爐邊談話等活動。據了解，WebX由日本主流加密媒體CoinPost策劃和管理，本次大會為期兩天，共邀請了超200位演講者。來自Web3、Web2和其他行業的參與者將齊聚一堂，討論如何將區塊鏈等去中心化技術引入社會。

目前，波場TRON公鏈用戶總數突破1.74億，交易筆數超61億，總鎖倉量（TVL）超135億美元。此外，波場版USDT穩定幣流通量自2021年4月起超過以太坊版USDT，位列世界第一。[2023/7/24 15:55:34]

這一次，黑客再次盯上跨鏈橋，因為跨鏈橋的復雜性以及累計的巨額財產，因此跨鏈橋往往成為黑客攻擊的首要目標，關于本次攻擊事件的詳細經過，我們接著往下看。

Web3 自動化代碼審計平臺 MetaTrust 完成約 1000 萬美元種子輪融資:1月9日消息，Web3 自動化代碼審計平臺 MetaTrust 聯合創始人 Liu Yang 在采訪中表示，MetaTrust 已經完成約 1000 萬美元種子輪融資，M23、Redpoint Ventures、ABCDE Capital、Longhash、Hash Global、SNZ、Yunqi Capital、GGV、Fellows Fund、Aimtop Ventures 等多家風投機構參投。

MetaTrust 計劃于 2023 年第一季度計劃推出四款產品，并將在實現收入和利潤目標后尋找下一輪融資。[2023/1/9 11:02:41]

10月7號零點55分，黑客于區塊高度 21955968 通過調用合約繳納 100 BNB 注冊成為 Relayer。

凌晨兩點半左右開始，黑客從BNB Chain的“代幣中心”（TokenHub）系統合約分兩次（2:26、4:43）共獲取了200萬枚BNB。并將其中90萬枚BNB在BNB Chain上借貸協議Venus進行抵押，借出6250萬BUSD、5000萬USDT、3500萬USDC。 

星巴克將于下個月推出基于web3的忠誠度計劃:金色財經消息，星巴克創始人Howard Schultz在本周與投資者的財報電話會議上預告了星巴克即將推出的web3計劃，星巴克將在下個月的投資者日活動中公布其基于web3的忠誠度計劃，其中包括以咖啡為主題的 NFT。

Howard Schultz表示，該計劃將建立在當前的獎勵模式之上，并將結合數字星巴克獎勵生態系統與星巴克品牌的數字收藏品。該公司今年早些時候宣布了進軍 web3領域的計劃，并指出其NFT不僅可以用作數字收藏品，還可以為其所有者提供獨家內容和其他特權。（techcrunch）[2022/8/4 2:58:06]

成都鏈安安全團隊現將手法解析如下：

幣安跨鏈橋BSC Token Hub在進行跨鏈交易驗證時，使用了一個特殊的預編譯合約用于驗證 IAVL 樹。而該實現方式存在漏洞，該漏洞可能允許攻擊者偽造任意消息。

1）攻擊者先選取一個提交成功的區塊的哈希值（指定塊：110217401）

Silicon Valley制片團隊將推出Web3項目:6月19日消息，HBO 熱播劇《硅谷》（Silicon Valley）背后制片團隊即將推出Web3項目Terrible Pets，允許NFT持有者使用大量的喜劇素材來創作、分享，并可能從他們自己的內容中獲益。

此外，Silicon Valley制片人Alec Berg表示，Web3提供了一種與潛在的廣泛而多樣化的受眾共同創建和協作的新方式。[2022/6/20 4:39:06]

2）然后構造一個攻擊載荷，作為驗證IAVL樹上的葉子節點

3）在IAVL樹上添加一個任意的新葉子節點

4）同時，添加一個空白內部節點以滿足實現證明

5）調整第3步中添加的葉子節點，使得計算的根哈希等于第1步中選取的提交成功的正確根哈希

6）最終構造出該特定區塊（110217401）的提款證明

Webull首席執行官：比特幣今年年底或將達到5.5萬美元:1月31日消息，交易平臺Webull首席執行官Anthony Denier預計比特幣到今年年底的價格將會達到55000美元。他表示，華爾街和機構投資者對比特幣的關注程度可能會將比特幣推至新高，他還覺得比特幣正變得越來越像黃金。此外，Denier還評論說，目前很多比特幣的支持者都是年輕一代，隨著時間的推移，這些人會真正看到比特幣變得更加主流和合法。最后，他認為當前的通貨膨脹率可能會在未來幾年內幫助比特幣變得更加強大。（Live Bitcoin News）[2021/1/31 18:29:49]

當然，有一些細節還要進一步推敲，成都鏈安安全團隊正在進行深入研究，有結果將第一時間與大家分享。

成都鏈安安全團隊通過鏈必追-虛擬貨幣案件智能研判平臺對被盜資金進行追蹤分析，發現總計有1億4357萬美元的被盜資金通過跨鏈進行轉移（含借貸）。被盜資金中有7739萬美元的資金通過各種跨鏈轉入了以太坊，5896萬美元的資金留存在FTM鏈中（含各種gUSDT），400萬美元的資金在Arbitrum鏈中，172萬美元的資金在Avalanche鏈中，40萬美元的資金在Polygon和110萬美元在Optimism。

鏈必追-虛擬貨幣案件智能研判平臺智能研判模塊

鏈必追-虛擬貨幣案件智能研判平臺地址分析模塊

鏈必追-虛擬貨幣案件智能研判平臺資金分析模塊

成都鏈安安全團隊根據鏈必追平臺進行的資金統計

10月7日9點半左右，BNB Chain官方在社交媒體上發文表示，已要求BNB Chain節點驗證者在未來幾個小時內與其聯系，以便可以計劃進行節點升級。

到了下午13點，BNB Chain發推稱，已發布BSC v1.1.15版本，BSC驗證者正在協調，以尋求在1小時內恢復BNB智能鏈（BSC）。新版本將阻止黑客賬戶相關活動。BNB信標鏈和BNB智能鏈之間的原生跨鏈通信已禁用。官方要求所有節點運營者嘗試升級至上述版本。驗證者和社區將討論進一步升級以完全解決此問題。

下午三點左右，BNB Chain發推稱，BNB智能鏈（BSC）20多分鐘前開始良好運行。驗證者正在確認他們的狀態，社區基礎設施也在升級。此外，BscScan數據顯示，BNB Chain網絡已恢復出塊。

成都鏈安安全團隊監測顯示，重啟之后，當前BSC節點程序通過黑名單與暫停iavlMerkleProofValidate功能的方式阻止被盜資金流動與潛在的攻擊。

由于區塊鏈經過了一段不短的發展時間，無論是區塊鏈項目方自己還是區塊鏈安全公司對于安全的重視程度都高于了以往，但是跨鏈橋這種代碼復雜且含有鏈下部分的項目非常容易遭受攻擊。

跨鏈橋通常都是一些大項目，代碼量較多，多個環節的組合下就容易出現一些組合型漏洞，然而這些漏洞又是較為隱蔽的，容易被黑客所利用。跨鏈橋還有一個高危點就是鏈下安全，由于鏈下代碼一般與鏈上代碼分開審計，并且通常由項目方自己來保證安全，導致很多漏洞被忽視。

以往的跨鏈橋攻擊通過線下漏洞或者是私鑰泄露等方式的攻擊較多，本次攻擊通過的構造特定的根哈希來構造出特定區塊的提款證明，從而使攻擊成立，攻擊難度比較大，并且數額較以往來說也比較高。本次事件也提醒了我們漏洞往往就在一些我們想不到的地方，因此只能不斷去完善項目安全，比別有用心者更早的去發現這些問題所在，才能夠更加維護我們的區塊鏈生態安全。

Beosin

企業專欄

閱讀更多

金色新聞匯

區塊精靈球

金色早8點

金色財經 子木

Block unicorn

DeFi之道

NFT中文社區

元宇宙之心MetaverseHub

金色財經Maxwell

月餅

-Kyle

金色數藏

Tags：BNBWEBCHAWEB3PEPEBNB價格web3幣圈HashBit BlockChainweb3域名哪里注冊

Ethereum