BNB CrossChain Bridge 被黑簡析_HASH:dash幣前景怎么樣

By:?Kong

據慢霧區情報，2022年10月7日，BNBChian跨鏈橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB，超5.7億美元。慢霧安全團隊分析后以簡析的形式分享給大家。和?BNB鏈之間的跨鏈橋）

簡要分析

1.在BNBChain與BSC跨鏈的過程中，會由BSC上部署的跨鏈合約調用預編譯的0x65合約對提交的appHash、key、vaule、proof進行IVAL樹驗證。IAVL樹是AVL樹的變種即是一種為鍵值提供可驗證根的AVL樹的實現。

Binance將于6月12日15時對BNB Beacon Chain進行預計一小時的錢包維護:6月8日消息，據官方公告顯示，Binance 將于北京時間 6 月 12 日 15 時對 BNB Beacon Chain（BEP2）進行錢包維護，預計需要 1 小時時間。錢包維護期間，BNB Beacon Chain（BEP2）的數字資產/Token 交易將不受影響，Binance 將于 2023 年 06 月 12 日 14:55 暫停 BNB Beacon Chain（BEP2）的充值和提現業務。[2023/6/8 21:23:24]

2.驗證主要由IAVLValueOp與MultiStoreProofOp兩個op進行，IAVLValueOp會先通過ComputeRootHash計算roothash并進行驗證。驗證通過后會將輸出的roothash給到MultiStoreProofOp，MultiStoreProofOp將檢查獲得的roothash是否與lightClient獲得的一致。

BEP-95升級后已銷毀15.77萬枚BNB:金色財經報道，BurnBNB在社交媒體上表示，自BEP-95實時銷毀升級以來，已經銷毀了15.77萬枚BNB，價值約5854萬美元。據悉，BNB的實時銷毀機制由BEP-95提出，類似以太坊當前的EIP-1559銷毀機制。[2023/3/9 12:51:13]

Dvision Network 將利用 Polygon Network 和 BNB Chain 在 Shopify 上啟動第三次土地銷售:金色財經報道，Dvision Network宣布將在 Polygon Network 和BNB鏈上進行第三次 LAND 銷售。第三次 LAND Sale可以用50% 的可用 LAND NFT 將通過Shopify Marketplace出售。此外，在 Polygon Network 上預鑄的 LAND NFT 可在 Shopify 上使用信用卡購買，而在BNB鏈上預鑄的 LAND NFT 可在 Dvision Marketplace 上使用 DVI 代幣購買。第三次土地銷售正式包括柏林和圣保羅的元城市，這是 Dvision World 連接的城市管道中的第五和第六個城市。[2022/4/19 14:32:31]

3.ComputeRootHash將通過leafhash與restpath(innernode)進行遞歸hash并檢查是否與lastpathnode的right一致。

因BNB Chain持續擁堵，鏈游Zuki Moba決定完全遷移到 Polygon:3月22日消息，BNB Chain鏈游 Zuki Moba 發布公告表示，由于 BNB Chain 上交易持續擁塞以及交易速度慢，許多用戶遭遇了交易中斷問題，因此決定將 Dapp、NFT 和 ZUKI 代幣、ZP 代幣從 BNB Chain 完全遷移到 Polygon 網絡。Zuki Moba 計劃于4月在 Polygon 上線主網。

據悉，ZukiMoba是一款以去中心化經濟應用社區為導向的MOBA電競游戲（多人在線對戰競技場）。游戲內NFT用于構建角色、游戲物品和元宇宙結構。去年11月，該項目完成140萬美元融資。（prnewswire）[2022/3/22 14:11:56]

4.而在具體的leafnode與innernode的哈希計算中我們可以看到當left為空時將計算leaf與right的hash，當right為空時將計算leaf與left的hash。但當left與right都存在的情況下，那么將忽略right，計算leaf與left的hash，即roothash將不會受right影響。

5.因此我們可以知道在path中，當left與right都存在的情況下將忽略right，返回leaf與left的hash，在遞歸哈希檢查中則會檢查此hash與lastpathnode的right是否一致。這就出現了在遞歸檢查中檢查了right，而在roothash計算中卻又忽略了right的情況。導致攻擊者可以在path中加入一個leaf與innernode的hash作為lastpathnode的right并添加一個空的innernode確保可驗證。使得在保持roothash不受影響的情況下插入了惡意的數據以竊取資金。

MistTrack分析

據慢霧?MistTrack反洗錢追蹤系統分析，這次黑客攻擊的初始資金來自ChangeNOW。

本次攻擊事件的黑客地址曾與多個DApp交互，包括Multichain、VenusProtocol、AlpacaFinance、Stargate、Curve、Uniswap、TraderJoe、PancakeSwap、SushiSwap等。此外，黑客轉移至以太坊上的?480萬?USDT?已被?Tether?列入黑名單，AVAX上的170萬USDT已被列入黑名單，Arbitrum上的200萬枚USDT已被列入黑名單。而由于BNBChain的及時暫停，黑客在BSC上的超4.1億美元已無法轉移。10月8日，黑客地址轉移約33,771枚ETH至0xFA0a3開頭的新地址，約合?4,500萬美元。

慢霧MistTrack將持續監控被盜資金的轉移。

Tags：BNBHASHASHGHTtogetherbnb可以推到的有誰HASH幣dash幣前景怎么樣valuerightzillion

DAI