10月7日凌晨,黑客利用BNB Chian跨鏈橋BSC Token Hub漏洞,分兩次共盜取200萬枚BNB。據分析,攻擊涉及的總金額超過7億美元,其中包含5.7億美元的BNB。
BNB Chian是如何被攻擊的?黑客盜取金額具體有多少?黑客為何又是選取跨鏈橋攻擊?幣安鏈本身安全嗎?怎么看黑客攻擊后幣安鏈被暫停?被盜資產結局會如何?對社區有何新啟示?
上述問題用戶迫切想知道答案,金色財經就此采訪了區塊鏈安全公司Numen的安全研究員,看看安全研究員眼中的BNB Chian跨鏈橋被攻擊事件是什么樣的。
Q1、10月7日BNB Chian跨鏈橋BSC Token Hub 遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB。請詳細講解一下這次黑客是如何攻擊幣安鏈的?
行情 | 金色盤面:BTC壓陣,TRX先鋒:金色盤面分析:在BTC穩定的情況下,市場開始騷動,先是TRX突圍,收出8%的漲幅,而后ADA、BCH相繼走強,而之前大跌的XRP也收窄跌幅,市場整體回暖,也許多點開花才是突破的正確選擇。提醒投資者理性看待市場波動,做好風控。(登錄金色財經APP—發現,查看更多幣種的獨家點評。)[2018/10/8]
Numen:黑客的攻擊行為其實很簡單,首先從changenow.io獲得攻擊所需的成本,然后利用幣安跨鏈橋處理消息驗證的基礎庫的漏洞,兩次偽造提現惡意消息,導致跨鏈橋向黑客地址發送了兩筆BNB,每筆都是100萬個BNB,價值約600M美金。
具體黑客如何構造proof以繞過消息驗證的方法我們還在研究,但可以確定的是BNB Chian在跨鏈消息驗證機制方面,使用了cosmos的IAVL庫和Multistoreproof的早期版本代碼,且已經被證明有漏洞存在。
金色相對論 | 肖磊:以法幣為錨的穩定幣只是階段性存在:本期金色相對論中,對于穩定幣的討論,知名財經專欄作家肖磊表示:由于目前整體數字貨幣的市值偏小,法幣池子巨大,數字貨幣很難達到穩定狀態,再加上交易所對集中交易計價的需求,跟現實的法幣需要做通兌,這種以法幣為錨的穩定幣才不得不階段性出現,未來數字貨幣里面,會誕生一些因競爭而脫穎而出的穩定幣,滿足更多的交易媒介的需求,甚至每一個數字貨幣,都可能成為通兌領域的穩定幣,因為貨幣領域,只談兌換比率,之所以我們現在需要穩定幣,是因為數字貨幣還沒有成為流通貨幣,大家把它當成了一個投資品來看待,所以需要參照物,整體生態遠沒有成型。[2018/9/20]
Q2、這次涉及的金額有說7.1億美元的,也有說5.6億美元的,這個金額到底是多少,該怎么算這個金額?
金色財經現場報道 ALEX YE:2018年下半年一定是服務載體的競爭:在GBLS全球無眠區塊鏈領袖峰會上,孔明屋首席執行官ALEX YE表示:我是創業十年,從產生的實驗到電商以及PC互聯網發展、微商、紅商以及區塊鏈整個過程當中,我們發現所有的升級都是基于服務載體的升級。什么是服務載體?就是我們阿里云、騰訊云,包括我們的移動公司物聯網的服務平臺服務載體,所有應用升級和發展都是基于什么?服務載體和平臺。今天基于區塊鏈的服務平臺是什么?就是共鏈,我們基于和約、算例、帶寬所有東西來做的升級和發展。所以未來競爭我大膽預測一下,2018年下半年一定是服務載體的競爭,哪些共鏈來做行業的價值,那么一定會率先突圍。[2018/6/6]
Numen:5.6億美金是按攻擊被發現時的BNB價格估算,而7.1億或許是在計算了venus的損失后做出的估計。黑客在攻擊完成后,通過venus借貸,抽干了借貸池中的USDT、BUSD、USDC等穩定幣。由于BNB Chain及時做出了響應,采取了暫停節點、黑名單和凍結等措施,已經將直接損失降低到了1億美金左右。
金色財經現場報道 EOS引力區聯合創始人李萬才:希望創建高度共識經濟體:金色財經現場報道,在火幣EOS全球超級節點SHOW上,EOS 引力區聯合創始人李萬才進行現場演講,李萬才指出:引力區希望能推動整個商業的落地,我們希望能打造關鍵的一環。EOS引力區希望能建立高度共識經濟體。DPoS是大方向,共識機制和通證模型是商業落地的關鍵點。引力區要激發社區活力,將共識機制、生態建設、成員交互打通。[2018/5/14]
Q3、這一次黑客選擇攻擊的又是跨鏈橋,為何跨鏈橋這么不安全?
Numen:任何有資金池的合約都很容易受到攻擊,因為黑客的直接目的是獲取更多的資金。由于很多跨鏈橋在處理資產跨鏈時采用的是質押機制,所以產生了很多數目可觀的資金池,吸引了黑客的注意。
具體到跨鏈橋的實現邏輯上,跨鏈橋有三種實現方式,公證人、哈希時間鎖和中繼鏈,其中哈希時間鎖機制相對安全,但只能支持資產的轉移,無法實現消息傳遞;中繼鏈實現復雜,通過區塊鏈的共識機制保障安全,其安全問題一般較為底層,黑客較難利用;而現在大部分跨鏈橋所采用的公證人機制,由于存在私鑰管理、消息驗證、合約操作等多個環節出現漏洞的可能性,所以出現了大量的安全事件。
Q4、這個攻擊對幣安鏈有影響嗎?幣安鏈本身是安全的嗎?為什么要暫停幣安鏈?
Numen:這個攻擊對幣安鏈本身的影響不大,只是一些經濟和品牌損失,幣安鏈在處理完此次攻擊事件后,仍然可以穩定運行,對于主網本身來說,再不涉及到跨鏈驗證的其他層面,由于fork了經過多年驗證的以太坊源碼,所以相對來說是安全的,但是安全圈有句話叫“世界上沒有安全的系統”,所以BNB chain的開發者們仍然不能掉以輕心。
暫停幣安鏈是一個正確的選擇,在底層機制出現問題的時候,應當暫停運行,待查清楚具體問題并修復后和處理完相關賬號和資產后,再重新運行。
Q5、在黑客攻擊成功后,在幣安要求下幣安鏈驗證者暫停了幣安鏈網絡運行,在社區引發不少爭議,怎么看幣安和幣安鏈的這一行為?
Numen:幣安暫停網絡其實是一個負責任的行為,如果繼續運行網絡,那所有BNB chain的生態都會受到重大影響,現在并不是爭論中心化還是去中心化的時候,我們共同的敵人是黑客。
Q6、現在黑客多個地址被拉黑名單或者資產被凍結,各位覺得這次黑客被盜資產結局會如何?
Numen:已經凍結和被幣安鏈鎖住的資產暫時是安全的,而已經通過跨鏈轉移到ETH、FTM等鏈上的資產,可能難以追回。
Q7、此次幣安跨鏈橋被攻擊和之前的黑客攻擊有何異同?對社區有何新的啟示?
Numen:此次攻擊時針對供應鏈的攻擊,黑客顯然對BNB chain的底層供應鏈比較熟悉,這點在之前的安全事件中比較少見。
對社區的啟發是技術人員應當對自己使用的庫和copy的代碼做到深入的了解,要明白他們的運行機制,并能夠review代碼中的問題,同時應該投入更多的資源在代碼審計上,由專業的第三方安全審計公司來進行多輪的審計,以保障項目的安全。
金色財經Maxwell
Bankless
金色薦讀
FastDaily
中國金融雜志
巴比特資訊
元宇宙之道
Web3游戲的現狀 過去十年中,從面向主機和PC的付費游戲到免費增值的手機游戲,游戲體驗和商業模式都隨著技術進步而發生了變化.
1900/1/1 0:00:00來源:老雅痞 導讀 我們之前分析過read 2 earn這種形式,當時在我們的讀者群里,大家就討論過電子書市場怎樣和Web3結合。你看看,這不就來了.
1900/1/1 0:00:00原文作者:Cosmos 聯合創始人Ethan Buchman關于幣安黑客事件的一些想法。Binance是Cosmos軟件的最大用戶,他們運營著一個價值數百億美元的平臺,但沒有對核心軟件做出有意義.
1900/1/1 0:00:00FTX 創辦人Sam Bankman-Fried(SBF)上周作客知名區塊鏈Podcast《UNCHAINED》.
1900/1/1 0:00:00近年來,盡管區塊鏈游戲行業發展迅速,在經濟的層面上對Web2游戲進行了升級,但從實質上來說,不論是play-to-earn或者其他的X-to-earn,Web3游戲還沒有實現質的飛躍.
1900/1/1 0:00:00跨鏈通信正在成為Web3領域的熱門話題,特別是每當有人談到Web3生態系統的現實效用,以及不同的鏈聚集在一起時,解決當前復雜的銀行、跨境交易、數字資產等基礎設施時尤為激烈.
1900/1/1 0:00:00