当前位置:首页 > 资讯 >

深度还原BNBChain 遭攻击前因后果,BN还安全吗? Binance智能链因担心“潜在的漏洞”

Binance智能链因担心“潜在的漏洞”而暂停,BNB代币下跌5%


BNB 区块链可能成为价值约 6 亿美元的攻击目标。


在与世界上最大的加密货币交易所有联系的区块链遭遇所谓的“潜在漏洞”后,Binance Smart Chain周四踩下了刹车,链上的证据表明损失可能在5亿美元左右。

深度还原BNBChain 遭攻击前因后果,BN还安全吗?  Binance智能链因担心“潜在的漏洞”


币安官方声明


BNB Chain从其官方账户发推文:“由于不正常的活动,我们暂时暂停了BSC”,后来确认该活动是一个“潜在的漏洞”,它的特征是被控制。


攻击的确切性质没有立即明确,但其阴影震撼了BSC的原生BNB代币,根据Binance拥有的CoinMarketCap的数据显示,经过一天的横盘交易,它已经从293.10美元下滑到280.40美元


链上数据显示,今天下午,一个攻击者从BSC代币中心大规模提取了100万个BSC代币,该攻击者以跨链交换、桥接和借贷的方式攫取了加密货币资产。无论如何,BNB的Twitter承诺“所有资金都是安全的”,并表示将“帮助冻结任何非法转账”

2022 年 10 月 7 号 00:55 分黑客于区块高度 21955968 通过调用合约 0x0000000000000000000000000000000000001006(BSC: Relayer Hub) 缴纳 100 BNB 注册成为 Relayer。

02:26 分黑客于区块高度 21957793 通过调用合约 0x0000000000000000000000000000000000002000(BSC: Cross Chain) 发起攻击,攻击获利 100 万 BNB。

04:43 分黑客于区块高度 21960470 通过调用合约 0x0000000000000000000000000000000000002000(BSC: Cross Chain) 再度发起攻击,攻击再次获利 100 万 BNB。

黑客从 BNB Chain Token Hub 系统合约分两次共获取(凭空铸造)了 200 万枚 BNB,并将其中 90 万枚 BNB 在 BNB Chain 上借贷协议 Venus 进行抵押,借出 6250 万 BUSD、5000 万 USDT、3500 万 USDC。

Supremacy 表示,截止发文前,我们认为 BSC 的默克尔树验证存在问题,分析仍在进行中。

据派盾,BNB Chain 攻击者已将约 8950 万美元的盗取资金转入其他链(非 BNB Chain),约 58% 资金转入以太坊,约 33% 资金转入 Fantom,约 4.5% 资金转入 Arbitrum。

Tether 迅速将 480 万以太坊上的USDT 列入黑名单(随后将 AVAX 上 170万 USDT 列入黑名单)。BNBChain 宣布将链暂停。“我们要求 BSC 验证者在接下来的几个小时内与我们联系,以便我们计划节点升级。”

CZ 表示,BSC Token Hub 是 BNB 信标链(BEP2)和 BNB 链(BEP20 或 BSC)之间的桥梁。目前受到影响的金额估计约为 1 亿美元。分析人士指出,虽然 BNBChain 及时暂停导致流出金额不大,但后续它也将面临尴尬局面,如果黑客不主动处理,那么停留在 BNBChain 内的金额如何处理的问题,势必又引发中心化/去中心化的争议。

慢雾创始人余弦评论:从盗窃手法+洗币手法来看,这波黑客下手快准狠,可能也没想到 Binance 下手也挺快准狠的(暂停 BSC、联合如 Tether 等进行相关资金冻结)。"这波黑客不简单...看这次能不能追踪出黑客身份"。但中文社区也对此有所批评,因为之前 BNBChain 对发生过的盗币案并未选择进行类似中心化的处理方式。

根据小道消息,是CX的黑客团队干的,三胖手底下的黑客是国际上相当有名。

据慢雾,黑客最初资金的来源为 ChangeNOW,黑客地址曾与多个 DApp 交互,包括 Multichain、Venus Protocol、Alpaca Finance、Stargate、Curve、Uniswap、Trader Joe、PancakeSwap、SushiSwap 等。

(目前黑客获利金额分布,来自慢雾)

分析师 @samczsun 发文解释了黑客利用 Binance Bridge 盗取 BNB 的方式。攻击者经过两次分别盗取 100 万 BNB,但使用的高度均为 110217401,远低于正常高度。此外,攻击者提交的证明短于合法证明,可见攻击者伪造了该特定块的证明。具体方法是在当 COMPUTEHASH 函数生成跟哈希时,增添一个新的叶节点,然后创造一个空白内部节点以满足证明者,在找出与内部节点匹配的跟哈希后提前退出。目前为止,通过这种方式生成的伪验证只有两条。

"总之,Binance Bridge 验证证明的方式存在一个错误,该错误可能允许攻击者伪造任意消息。幸运的是,这里的攻击者只伪造了两条消息,但损害本可能要严重得多"。

现在看BTC和ETH,跑那么多年没出现停出块和链级别的安全事故,不得不说是真挺牛逼的。

因为洞算是堵上了,BNB价格没有出现特别猛的下跌,市场情绪看起来已经消化了这个利空。现在关注的焦点是BSC怎么来解决这些已经被铸造出来的几百万BNB,以及已经跨链跑掉的损失。

深度还原BNBChain 遭攻击前因后果,BN还安全吗?  Binance智能链因担心“潜在的漏洞”


0x489a8756c18c0b8b24ec2a2b9ff3d4d447f79bec

这是黑客的地址,感兴趣的可以自己去看看,他还借空了ftm上的借贷池

另外值得一提的是:本次攻击约造成7.5亿美元的损失,超过了Ronin Network创下的6.2亿美元的记录,此事件将登顶Rekt Top1
深度还原BNBChain 遭攻击前因后果,BN还安全吗?  Binance智能链因担心“潜在的漏洞”


敬畏市场!

在加密行业你想抓住下一波牛市机会你得有一个优质圈子,大家就能抱团取暖,保持洞察力。如果只是你一个人,四顾茫然,发现一个人都没有,想在这个行业里面坚持下来其实是很难的。

想抱团取暖,或者有疑惑的,欢迎加入我们——公众号:币然之路

感谢阅读,我们下期再见!


猜你喜欢

微信二维码

微信