比特幣價格 比特幣價格
Ctrl+D 比特幣價格
ads
首頁 > 區塊鏈 > Info

BNB:解析:約 5.66 億美元 BNB 被盜全過程_寧波銀行bnb是啥意思

Author:

Time:1900/1/1 0:00:00

作者:秦曉峰,ODAILY星球日報

北京時間今天上午,BNB??Chian?跨鏈?橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB,價值約5.66億美元。和BNB鏈之間的跨鏈橋。)

消息一出,BNB價格在2小時內一度下跌近5%,跌至278.7美元低點,現報價284美元,24小時跌幅4.24%。

根據BNBChain的說法,從BSC提取的資金的初步估計在1億美元至1.1億美元之間。并且,Tether也在第一時間將黑客地址列入黑名單。“感謝社區和我們的內部和外部安全合作伙伴,估計700萬美元已經被凍結。”

Binance?創始人??CZ在社交媒體上發文表示,目前幣安?已要求所有驗證者暫停BSC網絡,用戶的資金是安全的,對于給用戶帶來的不便深表歉意,并將相應地提供進一步的更新。

針對具體的攻擊方式,Paradigm??研究員samczsun在社交媒體上發文表示,鏈上數據及相關代碼顯示,BSC跨鏈橋的驗證方式存在BUG,該BUG可能允許攻擊者偽造任意消息;本次攻擊中,攻擊者偽造信息通過了BSC跨鏈橋的驗證,使跨鏈橋向攻擊者地址發送了200萬枚BNB。

Beosin:Avalanche鏈上Platypus項目損失850萬美元攻擊事件解析:2月17日,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、 預警與阻斷平臺監測顯示,Avalanche鏈上的Platypus項目合約遭受閃電貸攻擊,Beosin安全團隊分析發現攻擊者首先通過閃電貸借出4400萬USDC之后調用Platypus Finance合約的deposit函數質押,該函數會為攻擊者鑄造等量的LP-USDC,隨后攻擊者再把所有LP-USDC質押進MasterPlatypusV4合約的4號池子當中,然后調用positionView函數利用_borrowLimitUSP函數計算出可借貸余額,_borrowLimitUSP函數會返回攻擊者在MasterPlatypusV4中質押物品的價值的百分比作為可借貸上限,利用該返回值通過borrow函數鑄造了大量USP(獲利點),由于攻擊者自身存在利用LP-USDC借貸的大量債務(USP),那么在正常邏輯下是不應該能提取出質押品的,但是MasterPlatypusV4合約的emergencyWithdraw函數檢查機制存在問題,僅檢測了用戶的借貸額是否超過該用戶的borrowLimitUSP(借貸上限)而沒有檢查用戶是否歸還債務的情況下,使攻擊者成功提取出了質押品(4400萬LP-USDC)。歸還4400萬USDC閃電貸后, 攻擊者還剩余41,794,533USP,隨后攻擊者將獲利的USP兌換為價值8,522,926美元的各類穩定幣。[2023/2/17 12:12:32]

samczsun分析文章如下:

Etherscan現支持以太坊域名服務ENS反向解析:5月12日消息,以太坊域名服務(Ethereum Name Service,簡稱ENS)發推稱,Etherscan目前支持ENS反向解析。ENS反向解析可使用戶的ENS域名成為跨DApp的以太坊賬戶的便攜式用戶名。除Etherscan外,使用此功能的其他DApp包括Uniswap、Opensea、Aavegotchi和Snapshot Labs等。目前,要使用該服務,用戶必須手動啟用反向解決,之后將更改為自動啟動;DApp須在其UI代碼中使用PR。

注:正向解析(Forward resolution,FR)是將一個ENS域名解析到以太坊地址等資源,反向解析(Reverse resolution,RR)是指將一個以太坊地址解析到一個ENS域名。[2021/5/12 21:52:40]

五小時前,攻擊者從BinanceBridge竊取了200萬BNB。此后我一直在與多方密切合作致力于揭示這一切如何發生的。

V神:預測市場的結果解析層和市場層正在分離:V神在推特表示,預測市場正在分離:結果解析層(如果發生某些事件,給1美元的代幣,沒有發生返回0代幣)與市場層(如何交易這些代幣)分離。[2020/9/26]

事情的起因是@zachxbt突然把攻擊者的地址發給了我。當我點擊進去的時候,我看到了一個價值數億美元的賬戶;要么是有項目rug跑路,要么就是正在進行大規模的黑客攻擊。

一開始,我以為@VenusProtocol又被黑了。然而,很快我就確定了攻擊者“真的”向Venus存入了超過2億美元。這時我就需要弄清楚這些資金的來源。

答案是,攻擊者以某種方式說服了幣安跨鏈橋,直接給他們發送了1,000,000BNB,而且是兩次。

哈勃公鏈CTO全面解析項目技術開發進展:據官方消息,近日,哈勃公鏈(Hubble Chain)首席架構師 Kevin 從美國硅谷視頻連線,對目前項目的技術開發進度,進行詳盡的匯報解讀。

Hubble Chain是一條支持跨鏈交易且擁有去中心化交易系統的公有鏈,通過采用H+POR 共識機制、蟲洞網絡系統,以及底層跨鏈協議等區塊鏈技術,構建全球區塊鏈智能金融新生態。

2020年5月,哈勃GDP(全球數字支付)計劃面向全球正式啟動,通過HB跨境兌換、HB全球結算、HB尊享支付,全面實現以HB為價值流通轉換的全球化數字貨幣支付場景的應用落地。[2020/6/5]

要么幣安推出Web3有史以來最大的“禮包”,要么攻擊者發現了一個嚴重的漏洞。我首先將攻擊者的交易與合法提款進行比較。我注意到的第一件事是攻擊者使用的高度始終相同——110217401,而合法提款使用的高度要大得多,例如270822321。

動態 | 日本Catabira推出基于區塊鏈的數據解析平臺:據Prtimes消息,日本信息服務商Catabira宣布推出基于區塊鏈的商業服務級數據解析平臺Catabira Insights For Blockchain,將利用區塊鏈技術不可篡改的特性保證調查數據的真實性。[2018/11/8]

我還注意到攻擊者的證明明顯短于合法提款的證明。這兩個事實使我確信,攻擊者已經找到了一種方法來偽造該特定區塊的證明。現在,我必須弄清楚這些證明是如何工作的。

在Binance上,有一個特殊的預編譯合約用于驗證IAVL樹。如果您對IAVL樹一無所知,也不要擔心,因為有95%的內容我都不懂。幸運的是,你和我所需要的只是剩下的5%。

基本上,當你驗證一個IAVL樹時,你指定了一個“操作”列表。幣安跨鏈橋通常需要兩個操作:“iavl:v”操作和“multistore”操作。以下是它們的實現:https://github.com/bnb-chain/bsc/blob/46d185b4cfed54436f526b24c47b15ed58a5e1bb/core/vm/lightclient/multistoreproof.go#L106-L125

為了偽造證明,我們需要兩個操作都成功,并且我們需要最后一個操作返回一個固定值。

通過查看?implementation,我們可以發現,操縱根哈希是不可能的,或者至少非常困難。這意味著我們需要我們的輸入值等于其中一個提交id。

“multistore”操作的輸入值是“iavl:v”操作的輸出值。這意味著我們想以某種方式控制這里的根變量,同時仍然通過值驗證。

那么如何計算根哈希?它發生在一個名為COMPUTEHASH的函數中。在非常高的層次上,它遞歸地遍歷每條路徑和葉節點并進行大量的哈希運算。

https://github.com/cosmos/iavl/blob/de0740903a67b624d887f9055d4c60175dcfa758/proof_range.go#L237-L290

實際上實現細節并不重要,重要的是,由于哈希函數的工作方式,我們基本上可以肯定地說,任何(path,nleaf)對都會產生唯一的哈希。如果我們想偽造證據,這些就得保持不變。

查看證明在合法交易中的布局方式,我們看到它的路徑很長,沒有內部節點,只有一個葉節點,這個葉節點包含我們惡意載荷的哈希值!如果我們不能修改這個葉節點,那么我們需要添加一個新的葉節點。

當然,如果我們添加一個新的葉節點,我們還需要添加一個新的內部節點來匹配。

現在我們只需要面對最后一個障礙。我們如何真正讓COMPUTEHASH返回我們想要的根哈希?好吧,請注意,最終我們將需要一個包含非零右哈希的路徑。當我們找到一個匹配時,我們斷言它與中間根哈希匹配。

讓我們稍微檢測一下代碼,這樣我們就可以弄清楚我們需要什么哈希,然后剩下的就是把它們放在一起,我們將采用合法證明并對其進行修改,以便:

1)我們為偽造的有效負載添加一個新葉節點;

2)我們添加一個空白內部節點以滿足證明者;

3)我們調整我們的葉節點以使用正確的根哈希提前退出

https://gist.github.com/samczsun/8635f49fac0ec66a5a61080835cae3db…

值得注意的是,這不是攻擊者使用的確切方法。他們的證明路徑要短得多,我不確定他們究竟是如何生成的。但是,漏洞利用的其余部分是相同的,我相信展示了如何從頭開始構建它是有價值的。

總之,幣安跨鏈橋驗證證明的方式存在一個錯誤,該錯誤可能允許攻擊者偽造任意消息。幸運的是,這里的攻擊者只偽造了兩條消息,但損害可能要嚴重得多。

Tags:BNBENSPLATAVL寧波銀行bnb是啥意思CENSNFT Platform IndexAVL價格

區塊鏈
ETH:警惕利用“以太坊合并”的 3 種騙局_ETH2

作者:茉莉,蜂巢Tech距離以太坊合并還有不到6小時,這條被視作下一代互聯網Web3.0底層基礎設施的區塊鏈網絡將徹底改變共識機制,從工作量證明的PoW機制轉向權益證明的PoS.

1900/1/1 0:00:00
區塊鏈:云南省市場監督管理局發布"區塊鏈跨境貿易"和"域名解析服務應用"兩項指南_區塊鏈域名

鏈捕手消息,云南省市場監督管理局近日發布由云南省科學技術院、云南財經大學、云南省標準化研究院等單位共同完成的《區塊鏈跨境貿易服務應用指南》《區塊鏈域名解析服務應用指南》兩項云南省地方標準.

1900/1/1 0:00:00
區塊鏈:加密技術公司 Talos 宣布擴大歐盟和美國地區團隊_RigoBlock

鏈捕手消息,機構數字資產交易技術供應商Talos宣布了三項新的任命:FrankvanZegveld擔任EMEA銷售主管,MattHouston擔任客戶總監.

1900/1/1 0:00:00
WEB:萬字長文:從金融電路理論系統化思考 Web3 金融底層框架_Coinyee Token

撰文:楊歌GaryYang,星瀚資本創始人,《金融電路與Web3經濟模型原理》 在Token2049之后,Web3市場更加明確了要快速打破瓶頸去把握下一個爆發點.

1900/1/1 0:00:00
ETH:速覽 ETHOnline 黑客松 14 個獲勝項目_BAL

撰文&整理:Karen,ForesightNews參考來源:ETHGlobal9月2日至9月28日,ETHGlobal舉辦ETHOnline2022旗艦黑客松和峰會,獎金超過30萬美元.

1900/1/1 0:00:00
區塊鏈:晚報 | 孫宇晨稱擁有 “數千萬” 枚 HT;Uniswap 完成 1.65 億美元 B 輪融資_NFT

整理:flowie,鏈捕手“過去24小時都發生了哪些重要事件”?1、孫宇晨:擁有“數千萬”枚HT,如法律允許將專注把Huobi帶回中國據彭博社報道,波場創始人孫宇晨表示.

1900/1/1 0:00:00
ads