北京時間2022年10月7日,據成都鏈安鷹眼-區塊鏈安全態勢感知平臺輿情監測顯示,BNBChain跨鏈橋“代幣中心”遭遇黑客攻擊,由于涉及的金額較為龐大,并且涉及多個鏈之間的跨鏈,根據成都鏈安安全團隊的整理與追蹤,目前整理出7.1億美元是幣安鏈上未涉及跨鏈部分的被盜資產,加上跨鏈部分的被盜資產,我們初步估計涉及金額在8.5億左右。
這場震動整個行業的“攻擊”事件因何發生,關于本次事件,成都鏈安安全團隊第一時間進行了分析。
7點41分,幣安CEO趙長鵬發推表示,在BNBChain跨鏈橋“代幣中心”上的一個漏洞導致了額外的BNB,已要求所有驗證者暫停BNBChain,這個問題現在得到了控制,資金是安全的,將相應地提供進一步的更新。
受攻擊事件影響,Zunami Protocol穩定幣UZD下跌96.8%:金色財經報道,據行情數據信息,受攻擊事件影響,ZunamiProtocol推出的穩定幣UZD短時下跌94%,現報價0.03151567美元。[2023/8/14 16:24:22]
這一次,黑客再次盯上跨鏈橋,因為跨鏈橋的復雜性以及累計的巨額財產,因此跨鏈橋往往成為黑客攻擊的首要目標,關于本次攻擊事件的詳細經過,我們接著往下看。
USDT、3500萬USDC。
成都鏈安安全團隊現將手法解析如下:
幣安跨鏈橋BSCTokenHub在進行跨鏈交易驗證時,使用了一個特殊的預編譯合約用于驗證IAVL樹。而該實現方式存在漏洞,該漏洞可能允許攻擊者偽造任意消息。
慢霧xToken被黑事件分析:兩個合約分別遭受“假幣”攻擊和預言機操控攻擊:據慢霧區消息,以太坊 DeFi 項目 xToken 遭受攻擊,損失近 2500 萬美元,慢霧安全團隊第一時間介入分析,結合官方事后發布的事故分析,我們將以通俗易懂的簡訊形式分享給大家。
本次被黑的兩個模塊分別是 xToken 中的 xBNTa 合約和 xSNXa 合約。兩個合約分別遭受了“假幣”攻擊和預言機操控攻擊。
一)xBNTa 合約攻擊分析
1. xBNTa 合約存在一個 mint 函數,允許用戶使用 ETH 兌換 BNT,使用的是 Bancor Netowrk 進行兌換,并根據 Bancor Network 返回的兌換數量進行鑄幣。
2. 在 mint 函數中存在一個 path 變量,用于在 Bancor Network 中進行 ETH 到 BNT 的兌換,但是 path 這個值是用戶傳入并可以操控的
3. 攻擊者傳入一個偽造的 path,使 xBNTa 合約使用攻擊者傳入的 path 來進行代幣兌換,達到使用其他交易對來進行鑄幣的目的。繞過了合約本身必須使用 ETH/BNT 交易對進行兌換的限制,進而達到任意鑄幣的目的。
二)xSNXa 合約攻擊分析
1. xSNXa 合約存在一個 mint 函數,允許用戶使用 ETH 兌換 xSNX,使用的是 Kyber Network 的聚合器進行兌換。
2. 攻擊者可以通過閃電貸 Uniswap 中 ETH/SNX 交易對的價格進行操控,擾亂 SNX/ETH 交易對的報價,進而擾亂 Kyber Network 的報價。從而影響 xSNXa 合約的價格獲取
3. 攻擊者使用操控后的價格進行鑄幣,從而達到攻擊目的。
總結:本次 xToken 項目被攻擊充分展現了 DeFi 世界的復雜性,其中針對 xSNXa 的攻擊更是閃電貸操控價格的慣用手法。慢霧安全團隊建議 DeFi 項目開發團隊在進行 DeFi 項目開發的時候要做好參數校驗,同時在獲取價格的地方需要防止預言機操控攻擊,可使用 Uniswap 和 ChainLink 的預言機進行價格獲取,并經過專業的安全團隊進行審計, 保護財產安全。詳情見官網。[2021/5/13 21:57:48]
1)攻擊者先選取一個提交成功的區塊的哈希值
V神回應ETH2經濟模式評估文章 稱文章高估了PoW攻擊成本:V神剛剛發推回應一篇ETH2經濟模式評估相關文章稱,報告很好,但有一個疑慮是,文章分析高估了PoW攻擊的成本(特別是租用硬件攻擊,但即使是ASIC礦機)。所以PoS可能由于低于13.8%的ETH質押量而更安全(因此不需要增加回報)。[2020/7/17]
2)然后構造一個攻擊載荷,作為驗證IAVL樹上的葉子節點
3)在IAVL樹上添加一個任意的新葉子節點
4)同時,添加一個空白內部節點以滿足實現證明
5)調整第3步中添加的葉子節點,使得計算的根哈希等于第1步中選取的提交成功的正確根哈希
動態 | 加密貨幣Vertcoin遭多次51%攻擊:據 PeckShield 態勢感知平臺12月05日數據顯示:11月29-12月2日之間,加密貨幣Vertcoin (VTC) 遭到51%雙花攻擊。攻擊發生在塊高度:1043103和1044333之間,攻擊者所出的區塊1043110,1043619,1044432均包含雙花攻擊交易。據了解,這已經是近兩個月內VTC遭受的第四次遭受51%攻擊,共計損失超過了10萬美元。Vertcoin網絡目前總算力約3.25TH/s,市值約1,440萬美元,排在Coinmarketcap.com第190位。[2018/12/5]
6)最終構造出該特定區塊的提款證明
當然,有一些細節還要進一步推敲,成都鏈安安全團隊正在進行深入研究,有結果將第一時間與大家分享。
成都鏈安安全團隊通過鏈必追-虛擬貨幣案件智能研判平臺對被盜資金進行追蹤分析,發現總計有1億4357萬美元的被盜資金通過跨鏈進行轉移。被盜資金中有7739萬美元的資金通過各種跨鏈轉入了以太坊,5896萬美元的資金留存在FTM鏈中,400萬美元的資金在Arbitrum鏈中,172萬美元的資金在Avalanche鏈中,40萬美元的資金在Polygon和110萬美元在Optimism。
鏈必追-虛擬貨幣案件智能研判平臺智能研判模塊
鏈必追-虛擬貨幣案件智能研判平臺地址分析模塊
鏈必追-虛擬貨幣案件智能研判平臺資金分析模塊
成都鏈安安全團隊根據鏈必追平臺進行的資金統計
到了下午13點,BNBChain發推稱,已發布BSCv1.1.15版本,BSC驗證者正在協調,以尋求在1小時內恢復BNB智能鏈。新版本將阻止黑客賬戶相關活動。BNB信標鏈和BNB智能鏈之間的原生跨鏈通信已禁用。官方要求所有節點運營者嘗試升級至上述版本。驗證者和社區將討論進一步升級以完全解決此問題。
下午三點左右,BNBChain發推稱,BNB智能鏈20多分鐘前開始良好運行。驗證者正在確認他們的狀態,社區基礎設施也在升級。此外,BscScan數據顯示,BNBChain網絡已恢復出塊。
成都鏈安安全團隊監測顯示,重啟之后,當前BSC節點程序通過黑名單與暫停iavlMerkleProofValidate功能的方式阻止被盜資金流動與潛在的攻擊。
以往的跨鏈橋攻擊通過線下漏洞或者是私鑰泄露等方式的攻擊較多,本次攻擊通過的構造特定的根哈希來構造出特定區塊的提款證明,從而使攻擊成立,攻擊難度比較大,并且數額較以往來說也比較高。本次事件也提醒了我們漏洞往往就在一些我們想不到的地方,因此只能不斷去完善項目安全,比別有用心者更早的去發現這些問題所在,才能夠更加維護我們的區塊鏈生態安全。
作為一家致力于區塊鏈安全生態建設的全球領先區塊鏈安全公司,也是最早將形式化驗證技術應用到區塊鏈安全的公司,成都鏈安目前已與國內外頭部區塊鏈企業建立了深度合作;為全球2500多份智能合約、100多個區塊鏈平臺和落地應用系統提供了安全審計與防御部署服務。成都鏈安同時具備全鏈條打擊虛擬貨幣犯罪和反洗錢技術服務能力,為等執法部門提供案件前、中、后期全鏈條技術支持服務千余次,包括數起進入混幣器平臺TornadoCash的案件,成功協助破獲案件總涉案金額數百億。歡迎點擊公眾號留言框,與我們聯系。
當前的市場情況仍然主要由比特幣短期持有者決定。這些持有者“在爭奪最好的入場價,以及可以獲得的微薄利潤”。但現在情況可能有所不同。最大的硬幣可能很快就會出現積極的敘述,因為它畢竟表明了生存的意愿.
1900/1/1 0:00:00最近一周加密世界黑客橫行,三天兩頭就出現被盜,被黑的大事件。10月7日BNB鏈被黑,攻擊者從BinanceBridge竊取了200萬BNB,約5.66億美元,還有大量venusBNB以及BUSD.
1900/1/1 0:00:00XRP價格已經連續幾周產生了出色的表現。Ripple的原生代幣獲得了積極的勢頭,因為它以小勝的優勢接近針對SEC訴訟的終點線.
1900/1/1 0:00:00Gate.ioLiveStreamiscommittedtocreatingabrand-newlivestreamingecosystemfortheblockchainindustry.
1900/1/1 0:00:00根據官方消息,HGEex交易所最近獲得了美國。加拿大MSB雙重許可證。這標志著HGEex在全球化進程中邁出了重要一步。HGEex注冊于英國倫敦,是一家堅持全球合規運營的專業數字貨幣交易平臺.
1900/1/1 0:00:00HuobiGlobal已完成股權正式交割,百域資本旗下并購基金成實控人Odaily星球日報訊加密交易平臺HuobiGlobal宣布HuobiGlobal控股股東公司已向百域資本旗下基金轉讓所持有.
1900/1/1 0:00:00