10月7日凌晨,黑客利用BNBChian跨鏈橋BSCTokenHub漏洞,分兩次共盜取200萬枚BNB。據分析,攻擊涉及的總金額超過7億美元,其中包含5.7億美元的BNB。
BNBChian是如何被攻擊的?黑客盜取金額具體有多少?黑客為何又是選取跨鏈橋攻擊?幣安鏈本身安全嗎?怎么看黑客攻擊后幣安鏈被暫停?被盜資產結局會如何?對社區有何新啟示?
上述問題用戶迫切想知道答案,金色財經就此采訪了區塊鏈安全公司Numen的安全研究員,看看安全研究員眼中的BNBChian跨鏈橋被攻擊事件是什么樣的。
Q1、10月7日BNBChian跨鏈橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB。請詳細講解一下這次黑客是如何攻擊幣安鏈的??
金色財經合約行情播報 | BTC恐慌性下跌,市場籠罩陰霾:據火幣BTC永續合約行情顯示,截至今日16:00(GMT+8),BTC價格暫報6709美元(-1.83%),20:00(GMT+8)結算資金費率為-0.075228%。
昨日BTC沖高至7200美元帶,窄幅震蕩后于今日6點放量下跌,最低至6550美元。根據火幣交割合約數據,BTC季度合約成交較昨日翻倍,持倉量基本不變,精英多頭占比下跌,季度合約貼水繼續增加。市場出現較重的恐慌情緒。
USDT于火幣全球站OTC的報價為7.26元,溢價率為2.91%。USDT溢價率保持一定幅度,未明顯放大。[2020/4/13]
Numen:黑客的攻擊行為其實很簡單,首先從changenow.io獲得攻擊所需的成本,然后利用幣安跨鏈橋處理消息驗證的基礎庫的漏洞,兩次偽造提現惡意消息,導致跨鏈橋向黑客地址發送了兩筆BNB,每筆都是100萬個BNB,價值約600M美金。
金色晨訊 | 央行未發行法定數字貨幣 嘉楠耘智更新招股書:擬募資1億美金:1.嘉楠耘智更新招股書:擬募資1億美金,主承銷商瑞信退出。
2.平安旗下金融壹賬通已向美國SEC遞交IPO申請。
3.美聯儲卡什卡利:沒有看到美聯儲支持數字貨幣的清晰理由。
4.獵豹移動發布2019Q3財報:已獲得38項區塊鏈專利。
5.幣安官方微博賬號被封,顯示被投訴違反法律法規。
6.雄安新區建設資金區塊鏈系統上線試運行。
7.央行:未發行法定數字貨幣(DC/EP),也未授權任何資產交易平臺進行交易。
8.普華集團:在區塊鏈領域擁有公鏈和聯盟鏈技術,已具備成熟的商業布局。
9.Block.one將參與EOS主網投票 推動EOS健康發展。
10.內蒙古自治區對虛擬貨幣“挖礦”企業清理整頓。
11.福建省委書記:努力將福建建成國家數字經濟發展新高地,大力發展區塊鏈等產業。
12.東莞市金融工作局:防范以“虛擬貨幣”“區塊鏈”等名義進行非法集資。
13.央行穆長春:央行數字貨幣將滿足公眾的匿名交易需求。
14.全國首張區塊鏈交通類財政票據開出。[2019/11/14]
具體黑客如何構造proof以繞過消息驗證的方法我們還在研究,但可以確定的是BNBChian在跨鏈消息驗證機制方面,使用了cosmos的IAVL庫和Multistoreproof的早期版本代碼,且已經被證明有漏洞存在。
分析 | 金色盤面:xrp觸底反彈 關注日線背離:金色盤面分析:經過昨天市場現恐慌性拋售,很多標的都出現了技術反彈需求,XRP日線MACD出現了背離現象,這里降速比較明顯,如果繼續拉升有望迎來日線級別的反彈機會。近期市場波動加劇,提醒投資者謹慎判斷,做好風控。[2018/9/13]
Q2、這次涉及的金額有說7.1億美元的,也有說5.6億美元的,這個金額到底是多少,該怎么算這個金額?
Numen:5.6億美金是按攻擊被發現時的BNB價格估算,而7.1億或許是在計算了venus的損失后做出的估計。黑客在攻擊完成后,通過venus借貸,抽干了借貸池中的USDT、BUSD、USDC等穩定幣。由于BNBChain及時做出了響應,采取了暫停節點、黑名單和凍結等措施,已經將直接損失降低到了1億美金左右。
分析 | 金色盤面:ONT/USDT有底背離跡象:金色盤面綜合分析:ONT/USDT在4小時上出現底背離,但持續的賣盤打壓,價格走勢仍不容樂觀,走勢上注意關注2.0阻力,突破才能打開空間,否則還要創新低。[2018/8/10]
Q3、這一次黑客選擇攻擊的又是跨鏈橋,為何跨鏈橋這么不安全?
Numen:任何有資金池的合約都很容易受到攻擊,因為黑客的直接目的是獲取更多的資金。由于很多跨鏈橋在處理資產跨鏈時采用的是質押機制,所以產生了很多數目可觀的資金池,吸引了黑客的注意。
具體到跨鏈橋的實現邏輯上,跨鏈橋有三種實現方式,公證人、哈希時間鎖和中繼鏈,其中哈希時間鎖機制相對安全,但只能支持資產的轉移,無法實現消息傳遞;中繼鏈實現復雜,通過區塊鏈的共識機制保障安全,其安全問題一般較為底層,黑客較難利用;而現在大部分跨鏈橋所采用的公證人機制,由于存在私鑰管理、消息驗證、合約操作等多個環節出現漏洞的可能性,所以出現了大量的安全事件。
Q4、這個攻擊對幣安鏈有影響嗎?幣安鏈本身是安全的嗎?為什么要暫停幣安鏈??
Numen:這個攻擊對幣安鏈本身的影響不大,只是一些經濟和品牌損失,幣安鏈在處理完此次攻擊事件后,仍然可以穩定運行,對于主網本身來說,再不涉及到跨鏈驗證的其他層面,由于fork了經過多年驗證的以太坊源碼,所以相對來說是安全的,但是安全圈有句話叫“世界上沒有安全的系統”,所以BNBchain的開發者們仍然不能掉以輕心。
暫停幣安鏈是一個正確的選擇,在底層機制出現問題的時候,應當暫停運行,待查清楚具體問題并修復后和處理完相關賬號和資產后,再重新運行。
Q5、在黑客攻擊成功后,在幣安要求下幣安鏈驗證者暫停了幣安鏈網絡運行,在社區引發不少爭議,怎么看幣安和幣安鏈的這一行為?
Numen:幣安暫停網絡其實是一個負責任的行為,如果繼續運行網絡,那所有BNBchain的生態都會受到重大影響,現在并不是爭論中心化還是去中心化的時候,我們共同的敵人是黑客。
Q6、現在黑客多個地址被拉黑名單或者資產被凍結,各位覺得這次黑客被盜資產結局會如何??
Numen:已經凍結和被幣安鏈鎖住的資產暫時是安全的,而已經通過跨鏈轉移到ETH、FTM等鏈上的資產,可能難以追回。
Q7、此次幣安跨鏈橋被攻擊和之前的黑客攻擊有何異同?對社區有何新的啟示?
Numen:此次攻擊時針對供應鏈的攻擊,黑客顯然對BNBchain的底層供應鏈比較熟悉,這點在之前的安全事件中比較少見。
對社區的啟發是技術人員應當對自己使用的庫和copy的代碼做到深入的了解,要明白他們的運行機制,并能夠review代碼中的問題,同時應該投入更多的資源在代碼審計上,由專業的第三方安全審計公司來進行多輪的審計,以保障項目的安全。
在牛市帶來的流動性激增期間,TVL是投資者衡量協議成功與否及其使用情況的首選指標。如今,流動性正在枯竭,人們的注意力已經轉移到了基本收入和盈利能力指標上。基本面一直很重要.
1900/1/1 0:00:00DeFi數據 1.DeFi代幣總市值:448.63億美元 DeFi總市值數據來源:coingecko2.過去24小時去中心化交易所的交易量30.
1900/1/1 0:00:00Sept.2022,ThiagoFreitasDashboard:MarketplaceComparison直到2021年底,OpenSea是購買和出售NFT的平臺.
1900/1/1 0:00:00跑路、騙局、倒閉,在國內人們對Web3越來越“冷淡”了。無事不登三寶殿,最近一位許久未見的朋友近期突然發來微信,在做了一陣招呼性的問候后表明了來意,原來是來問問有沒有合適的工作可以介紹的.
1900/1/1 0:00:00DAO的空間結構對生產關系的構建,也將改變DAO存在的治理悖論。原文標題:《06)ThinkaboutWeb3:我們為什么需要DAO操作系統?》撰文:VIONWILLIAMS本篇文章的寫作背景是.
1900/1/1 0:00:00原標題:對不起,數藏真的不配我是數藏圈內人。準確點,我自認為我還算個數藏圈內人。比如微信里躺著的N個數藏群;又比如能夠無縫對接上圈內的熱門話題;前一陣,我還寫了幾篇還算有見地的文章。我是傲慢的.
1900/1/1 0:00:00