「ForesightNews」ForesightNews消息,据BeosinEagleEye平台监控显示,BSCTokenHub10月7日遭遇黑客攻击,Beosin安全团队现将技术分析如下:货
币安全跨链桥BSCTokenHub跨链交易验证采用特殊的预编译合同进行验证IAVL树。这种实现方式存在漏洞,可能允许攻击者伪造任何信息。1)攻击者首先选择哈希值(指定块:110217401),然后构建攻击载荷作为验证IAVL树上的叶节点3)IAVL在树上添加任何新的叶节点4)同时,添加空白内部节点以满足实现证明5)调整第三步添加的叶节点,计算的根哈希等于第一步选择的正确提交的根哈希6)最终构建了特定块(110217401)的提款证明Beosin据安全团队统计,共有1.435亿美元的被盗资金通过跨链转移(包括贷款),约739万美元的被盗资金通过各种跨链转移到以太坊,保留5896万美元的资金FTM链中(含各种)gUSDT),400万美元的资金是Arbitrum链中,172万美元的资金在链中Avalanche链中,40万美元的资金在Polygon和110万美元在Optimism。BeosinTrace实时跟踪被盗资金。