圖片來源@視覺中國
北京時間10月7日凌晨,智能合約平臺幣安鏈遭遇黑客攻擊,短短2小時,200萬枚幣安幣被洗劫一空。隨后,幣安首席執行官趙長鵬在社交平臺表示,受損金額估計為1億美元。
2021年以來,跨鏈橋遭遇的攻擊事件不斷出現,造成的損失金額也越來越大:2021年8月的PolyNetwork攻擊事件損失高達6.1億美元,今年3月發生的RoninNetwork攻擊事件損失超過6.25億美元,這也是迄今為止損失金額最高的一起跨鏈橋攻擊事件。
BSCTokenHub被攻擊是偶發事件嗎?跨鏈橋究竟安全嗎?鏈得得App針對這些問題采訪了加密行業安全專家。
觀點:游戲行業可結合區塊鏈技術解決游戲賬號“保值難”等難題:對于游戲賬號交易中“保值難、亂象多”的問題,游戲行業從業者陳達認為,游戲賬號等虛擬物品交易可結合區塊鏈技術,打通游戲與游戲之間割裂的狀態,建立更有效率的資產交易平臺,區塊鏈技術引入虛擬資產交易其實已經在國內外有很多成功的嘗試,因為交易記錄不可變更,使得交易有了安全性的保障。既然玩家存在此類型的需求,我們也應該多從創新的角度去改善大家的體驗。(北京商報)[2020/3/10]
BSC遭受了一次高難度攻擊
目前來看,此次針對BSCTokenHub的攻擊是一次比PolyNetwork攻擊事件和RoninNetwork攻擊事件難度更高的攻擊。上述兩次攻擊是通過秘鑰泄露和驗證節點失效實現的,而此次攻擊則更加技術化。
區塊鏈安全公司Beosin安全研究專家認為,以往的跨鏈橋攻擊通過線下漏洞或者是私鑰泄露等方式的攻擊較多,本次攻擊通過的構造特定的根哈希來構造出特定區塊的提款證明,從而使攻擊成立,攻擊難度比較大,并且數額較以往來說也比較高。
動態 | 中農網欲利用區塊鏈技術解決繭絲產業難題:據億邦動力網消息,中農網將利用區塊鏈可驗證、可追溯的、可信任的技術,覆蓋繭絲溯源全鏈條,打通資金方與資產方的數據化傳遞,將多級資產納入區塊鏈范疇,實現覆蓋下單、生產、加工、倉儲、結算、出口等繭絲產業鏈的閉環鏈路,解決因三農企業信用認證及信息透明度難題所導致的融資難、融資貴、融資亂等困難。[2018/10/16]
慢霧安全團隊向鏈得得App詳細解釋了攻擊者使用的手法:在BNBChain與BSC跨鏈的過程中,會由BSC上部署的跨鏈合約調用預編譯對提交的數據進行IVAL樹驗證。驗證時會通過leafhash與innernode進行遞歸hash并檢查是否與lastpathnode的right一致。而在path中,當left與right都存在的情況下將忽略right,只返回leaf與left的hash。這就出現了在遞歸檢查中檢查了right,而在roothash計算中卻又忽略了right的情況。導致攻擊者可以在path中加入一個leaf與innernode的hash作為lastpathnode的right并添加一個空的innernode確保可驗證。使得在保持roothash不受影響的情況下插入了惡意的數據以竊取資金。相較以往漏洞、私鑰泄露等攻擊方式,這次針對BNBChian的攻擊難度更高。
聲音 | 李國都:輕工產業鏈期望通過區塊鏈技術解決傳統供應鏈金融痛點:近日,“第五屆未來金融科技”在北京舉辦,該活動由財視中國主辦,中國輕工企業投資發展協會,中國輕工企業投資發展協會科技金融創新發展專業委員會特別支持。
中國輕工企業投資發展協會理事長李國都表示,李克強總理做政府工作報告時,多次提到要規范發展地方性中小金融機構,解決中小企業融資難、融資貴問題,為響應國家政策,輕工產業鏈金融服務平臺期望通過在系統上導入區塊鏈技術,解決傳統供應鏈金融的痛點。[2018/9/26]
受益于BSC的快速反應,雖然本次攻擊難度較大,但攻擊者獲得的大部分“戰利品”都被順利攔截下來。根據慢霧安全團隊的統計,黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB,超5.7億美元。在北京時間10月8日的凌晨,黑客已經將絕大部分ETH從原地址轉移到新地址。從資產情況來看,據慢霧MistTrack反洗錢追蹤系統分析,這次黑客攻擊的初始資金來自ChangeNOW,黑客地址也曾與多個DApp交互,包括Multichain、VenusProtocol、AlpacaFinance、Stargate、Curve、Uniswap、TraderJoe、PancakeSwap、SushiSwap等。截止目前,黑客轉移至以太坊上的480萬USDT已被Tether列入黑名單,AVAX上的170萬USDT已被列入黑名單,Arbitrum上的200萬枚USDT已被列入黑名單。而由于BNBChain的及時暫停,黑客在BSC上的超4.1億美元已無法轉移。
現場 | 甜甜圈Idonut創始人:用區塊鏈技術解決餐飲行業亂象:金色財經現場報道,在8月16日的WMIC2018世界移動互聯網大會上,甜甜圈Idonut創始人、CEO王進表示,雖然目前人們的生活已經通過互聯網電商變得足夠便利,但痛點顯而易見,商家與用戶之間缺乏緊密的聯系,首先商家與用戶之間的聯系需要通過第三方中心化平臺,缺乏價值交換的媒介;其次,商家刷好評、刷銷量、加收服務費、黑心作坊、食品安全危機等問題頻發。“甜甜圈”則是一個以餐飲為核心的非中心化超級區塊鏈網絡集群新型社區,通政經濟新時代下,消費者、供應鏈社、商家社區共同創造價值,按貢獻與重要程度分享社區品牌價值,避免中心利用壟斷地位過度掠奪生產者利益,間接侵害消費者利益。[2018/8/16]
其余已經被黑客控制的代幣目前僅被轉移分散到其他網絡,暫時還未開始變現。Beosin安全研究專家表示,根據以往的經驗,黑客一般會通過各類混幣器進行洗錢。
跨鏈橋還安全嗎?
近兩年以來,跨鏈橋接連不斷被攻擊,一旦攻擊成功就會造成巨額損失。除了文章開頭提到的兩起金額巨大的攻擊事件之外,ChainSwap、Multichain、MeterBridge、Wormhole等主流跨鏈橋也都遭受過攻擊,損失從數十萬美元到數億美元不等。根據Beosin提供的數據,2022年上半年,共發生了7起跨鏈橋攻擊事件,共計損失金額約11億3599萬美元,占了上半年總損失金額的59%。上半年損失金額上億美元的事件4起中就有3起來自跨鏈橋。
對于攻擊者來說,跨鏈橋承擔著巨量的資金流動,誘惑遠超其他區塊鏈設施;另一方面,跨鏈橋代碼復雜,更加依賴項目方技術實力,漏洞出現的概率更高,因此反而攻擊難度較低。同時,跨鏈橋的中心化程度往往較高,這也帶來了更高的攻擊風險。
Beosin安全研究專家表示,跨鏈橋通常都是一些大項目,代碼量較多,多個環節的組合下就容易出現一些組合型漏洞,然而這些漏洞又是較為隱蔽的,容易被黑客所利用。跨鏈橋還有一個高危點就是鏈下安全,由于鏈下代碼一般與鏈上代碼分開審計,并且通常由項目方自己來保證安全,導致很多漏洞被忽視。
慢霧安全團隊則認為,跨鏈橋在安全性和去中心化水平上面臨許多挑戰,跨鏈橋自身的中心化特性為去中心化的Web3世界引入了中心化風險。不少跨鏈橋項目的權限幾乎都掌握在多簽錢包中,只要掌握了簽名就可以掌控一切。同時,跨鏈橋項目很少會找審計公司對它們的產品進行安全審計,社區對它的監控也很少,這兩點導致黑客想要尋找區塊鏈中的攻擊目標時優先考慮跨鏈橋。
跨鏈橋怎樣變得更安全?
降低安全風險的首要動作就是減少代碼漏洞、加強內部風險控制。
Beosin安全團隊建議,項目中的核心代碼使用第三方組件時,應進行詳盡的安全檢查或邀請專業的安全團隊進行審查,項目方在項目上線前建議進行完整的安全審計。
除了加強審計,為代碼“查缺補漏”外,BSC迅速“圍堵”了被盜資金也在此次事件中起到了關鍵作用。慢霧安全團隊建議,跨鏈橋項目方需要加強與鏈分析平臺和中心化交易所(CEX)的協調,這有助于追蹤和標記被盜代幣,在一定程度上會抑制攻擊者的行為。同時,建議跨鏈橋項目方啟動漏洞賞金計劃,在項目及其社區之間可以創造協同效應。
Tags:BSCBNBUSDTBSC價格BSC幣bnb是什么牌子衣服手機直接玩togetherbnbtogetherbnb游戲v1.0.0USDT幣USDT價格
圖片來源@視覺中國 本周一日本信用卡巨頭JCBCorporation和IDEMIA公司宣布,與馬來西亞金融科技公司SoftSpaceSdn.Bhd.合作啟動JCBDC項目.
1900/1/1 0:00:00來源:澎湃新聞 澎湃新聞首席記者陳斯斯 隨著視頻《回村三天,二舅治好了我的精神內耗》的播出,“二舅”的故事火了,“精神內耗”一詞也激起了很多人的討論.
1900/1/1 0:00:00通訊員邢召娣 “太感謝咱們建行的工作人員了,這么多硬幣我跑了好幾家銀行了,都閑費功夫,讓我去其他銀行看看,沒想到咱們建行不但沒有拒絕我,系統還這么先進,這么多零錢不用我在這等就能入賬.
1900/1/1 0:00:00圖片來源:搜狐網 6月,蘋果在WWDC上正式發布了iOS16操作系統,同時也帶來了新一代的CarPlay車載交互系統.
1900/1/1 0:00:00要點: 1.EthereumFair旨在挽救工作量證明以太坊區塊鏈的最重要特征。它是以太坊區塊鏈的第一個分支,以響應切換到權益證明算法.
1900/1/1 0:00:00綠色會計的發展及研究與實務進展探析 從發展階段來看,會計分為古代會計、近代會計和現代會計。傳統會計則是在進入現代會計階段之后,隨著綠色會計概念提出而出現的一個概念,指的是“以歷史成本作為資產計.
1900/1/1 0:00:00