作者?|?吴说区块链 据?据?Supremacy 梳理的最初时间轴: 北京时间 2022 年 10 月?7 号 00:55?分黑客于区块高度?21955968 通过调用合约 0x0000000000000000000000000000000000001006(BSC: Relayer Hub)?缴纳 100 BNB 注册成为 Relayer。 02:26 分黑客于区块高度?21957793?通过调用合约 0x0000000000000000000000000000000000002000(BSC: Cross Chain)?发起攻击,攻击获利 100 万?BNB。 04:43?分黑客于区块高度?21960470?通过调用合约 0x0000000000000000000000000000000000002000(BSC: Cross Chain) 再度发起攻击,攻击再次获利 100 万 BNB。 黑客从 BNB Chain?Token Hub 系统合约分两次共获取(凭空铸造)了 200 万枚 BNB,并将其中 90 万枚 BNB 在 BNB Chain 上借贷协议?Venus 进行抵押,借出 6250 万 BUSD、5000 万 USDT、3500 万 USDC。 Supremacy 表示,截止发文前,我们认为 BSC 的默克尔树验证存在问题,分析仍在进行中。 据派盾,BNB Chain 攻击者已将约 8950 万美元的盗取资金转入其他链(非 BNB Chain),约 58% 资金转入以太坊,约 33% 资金转入 Fantom,约 4.5% 资金转入 Arbitrum。 Tether 迅速将 480 万以太坊上的USDT 列入黑名单(随后将 AVAX 上 170万 USDT 列入黑名单)。BNBChain 宣布将链暂停。“我们要求 BSC 验证者在接下来的几个小时内与我们联系,以便我们计划节点升级。” CZ 表示,BSC Token Hub 是 BNB 信标链(BEP2)和 BNB 链(BEP20 或 BSC)之间的桥梁。目前受到影响的金额估计约为 1 亿美元。分析人士指出,虽然 BNBChain 及时暂停导致流出金额不大,但后续它也将面临尴尬局面,如果黑客不主动处理,那么停留在 BNBChain 内的金额如何处理的问题,势必又引发中心化/去中心化的争议。 慢雾创始人余弦评论:从盗窃手法+洗币手法来看,这波黑客下手快准狠,可能也没想到 Binance 下手也挺快准狠的(暂停 BSC、联合如 Tether 等进行相关资金冻结)。"这波黑客不简单...看这次能不能追踪出黑客身份"。但中文社区也对此有所批评,因为之前 BNBChain 对发生过的盗币案并未选择进行类似中心化的处理方式。 据慢雾,黑客最初资金的来源为 ChangeNOW,黑客地址曾与多个 DApp 交互,包括 Multichain、Venus Protocol、Alpaca Finance、Stargate、Curve、Uniswap、Trader Joe、PancakeSwap、SushiSwap 等。 (目前黑客获利金额分布,来自慢雾) 分析师 @samczsun 发文解释了黑客利用 Binance Bridge 盗取 BNB 的方式。攻击者经过两次分别盗取 100 万 BNB,但使用的高度均为 110217401,远低于正常高度。此外,攻击者提交的证明短于合法证明,可见攻击者伪造了该特定块的证明。具体方法是在当 COMPUTEHASH 函数生成跟哈希时,增添一个新的叶节点,然后创造一个空白内部节点以满足证明者,在找出与内部节点匹配的跟哈希后提前退出。目前为止,通过这种方式生成的伪验证只有两条。 "总之,Binance Bridge 验证证明的方式存在一个错误,该错误可能允许攻击者伪造任意消息。幸运的是,这里的攻击者只伪造了两条消息,但损害本可能要严重得多"。 目前事件还在发展中,更多更新欢迎关注吴说电报频道与中文推特,或官网更新网址: https://www.wu-talk.com/index.php?m=content&c=index&a=show&catid=46&id=8367根据央行等部门发布“关于进一步防范和处置虚拟货币交易炒作风险的通知”,本文内容仅用于信息分享,不对任何经营与投资行为进行推广与背书,请读者严格遵守所在地区法律法规,不参与任何非法金融行为。不为任何虚拟货币、数字藏品相关的发行、交易与融资等提供交易入口、指引、发行渠道引导等。吴说内容未经许可,禁止进行转载、复制等,违者将追究法律责任。 —- 编译者/作者:吴说 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
BNBChain 遭攻击超 5 亿美金:时间轴梳理与原因解析
2022-10-08 吴说 来源:区块链网络
LOADING...
相关阅读:
- 14个ETHOnline 2022决赛入围项目一览2022-10-03
- 报告:今年以来跨链桥黑客事件被盗资金总额达20亿美元2022-08-04
- 彭博社:Axie Infinity CEO在6.22亿美元黑客攻击公布前转移价值300万美元A2022-07-29
- 开源量子计算黑客马拉松unitaryHACK 2022圆满落幕,超400名开发者参与2022-07-11
- 珠宝商格拉夫向俄罗斯黑客团伙支付750万美元比特币赎金2022-07-06