支持bsc链的交易所
图片来源@视觉中国
北京时间10月7日凌晨,智能合约平台币安链(BNB Chain)遭遇黑客攻击,短短2小时,200万枚币安币被洗劫一空。随后,币安首席执行官赵长鹏在社交平台表示,受损金额估计为1亿美元(约合人民币7.1亿元)。
2021年以来,跨链桥遭遇的攻击事件不断出现,造成的损失金额也越来越大:2021年8月的Poly Network 攻击事件损失高达6.1亿美元,今年3月发生的RoninNetwork攻击事件损失超过6.25亿美元,这也是迄今为止损失金额最高的一起跨链桥攻击事件。
BSC Token Hub被攻击是偶发事件吗?跨链桥究竟安全吗?链得得App针对这些问题采访了加密行业安全专家。
BSC遭受了一次高难度攻击目前来看,此次针对BSC Token Hub的攻击是一次比Poly Network 攻击事件和RoninNetwork攻击事件难度更高的攻击。上述两次攻击是通过秘钥泄露和验证节点失效实现的,而此次攻击则更加技术化。
区块链安全公司Beosin安全研究专家认为,以往的跨链桥攻击通过线下漏洞或者是私钥泄露等方式的攻击较多,本次攻击通过的构造特定的根哈希来构造出特定区块的提款证明,从而使攻击成立,攻击难度比较大,并且数额较以往来说也比较高。
慢雾安全团队向链得得App详细解释了攻击者使用的手法:在 BNB Chain 与 BSC 跨链的过程中,会由 BSC 上部署的跨链合约调用预编译对提交的数据进行 IVAL 树验证。验证时会通过 leaf hash 与 innernode进行递归 hash 并检查是否与 last path node 的 right 一致。而在 path 中,当 left 与 right 都存在的情况下将忽略 right,只返回 leaf 与 left 的 hash。这就出现了在递归检查中检查了 right,而在 roothash 计算中却又忽略了 right 的情况。导致攻击者可以在 path 中加入一个 leaf 与 innernode 的 hash 作为 last path node 的 right 并添加一个空的 innernode 确保可验证。使得在保持 roothash 不受影响的情况下插入了恶意的数据以窃取资金。相较以往漏洞、私钥泄露等攻击方式,这次针对BNBChian的攻击难度更高。
受益于BSC的快速反应,虽然本次攻击难度较大,但攻击者获得的大部分“战利品”都被顺利拦截下来。根据慢雾安全团队的统计,黑客利用跨链桥漏洞分两次共获取 200 万枚 BNB,超 5.7 亿美元。在北京时间 10 月 8 日的凌晨,黑客已经将绝大部分 ETH 从原地址转移到新地址。从资产情况来看,据慢雾 MistTrack 反洗钱追踪系统分析,这次黑客攻击的初始资金来自 ChangeNOW,黑客地址也曾与多个 DApp 交互,包括 Multichain、Venus Protocol、Alpaca Finance、Stargate、Curve、Uniswap、Trader Joe、PancakeSwap、SushiSwap 等。截止目前,黑客转移至以太坊上的 480 万 USDT 已被 Tether 列入黑名单,AVAX 上的 170 万 USDT 已被列入黑名单,Arbitrum 上的 200 万枚 USDT 已被列入黑名单。而由于 BNB Chain 的及时暂停,黑客在 BSC 上的超 4.1 亿美元已无法转移。
其余已经被黑客控制的代币目前仅被转移分散到其他网络,暂时还未开始变现。Beosin安全研究专家表示,根据以往的经验,黑客一般会通过各类混币器进行洗钱。
跨链桥还安全吗?近两年以来,跨链桥接连不断被攻击,一旦攻击成功就会造成巨额损失。除了文章开头提到的两起金额巨大的攻击事件之外,ChainSwap、Multichain、Meter Bridge、Wormhole等主流跨链桥也都遭受过攻击,损失从数十万美元到数亿美元不等。根据Beosin提供的数据,2022年上半年,共发生了7起跨链桥攻击事件,共计损失金额约11亿3599万美元,占了上半年总损失金额的59%。上半年损失金额上亿美元的事件 4 起中就有 3 起来自跨链桥。
对于攻击者来说,跨链桥承担着巨量的资金流动,诱惑远超其他区块链设施;另一方面,跨链桥代码复杂,更加依赖项目方技术实力,漏洞出现的概率更高,因此反而攻击难度较低。同时,跨链桥的中心化程度往往较高,这也带来了更高的攻击风险。
Beosin安全研究专家表示,跨链桥通常都是一些大项目,代码量较多,多个环节的组合下就容易出现一些组合型漏洞,然而这些漏洞又是较为隐蔽的,容易被黑客所利用。跨链桥还有一个高危点就是链下安全,由于链下代码一般与链上代码分开审计,并且通常由项目方自己来保证安全,导致很多漏洞被忽视。
慢雾安全团队则认为,跨链桥在安全性和去中心化水平上面临许多挑战,跨链桥自身的中心化特性为去中心化的Web3世界引入了中心化风险。不少跨链桥项目的权限几乎都掌握在多签钱包中,只要掌握了签名就可以掌控一切。同时,跨链桥项目很少会找审计公司对它们的产品进行安全审计,社区对它的监控也很少,这两点导致黑客想要寻找区块链中的攻击目标时优先考虑跨链桥。
跨链桥怎样变得更安全?降低安全风险的首要动作就是减少代码漏洞、加强内部风险控制。
Beosin安全团队建议,项目中的核心代码使用第三方组件时,应进行详尽的安全检查或邀请专业的安全团队进行审查,项目方在项目上线前建议进行完整的安全审计。
除了加强审计,为代码“查缺补漏”外,BSC迅速“围堵”了被盗资金也在此次事件中起到了关键作用。慢雾安全团队建议,跨链桥项目方需要加强与链分析平台和中心化交易所 (CEX) 的协调,这有助于追踪和标记被盗代币,在一定程度上会抑制攻击者的行为。同时,建议跨链桥项目方启动漏洞赏金计划,在项目及其社区之间可以创造协同效应。
【本文原发布于链得得,授权钛媒体App发布,作者:大文】
","force_purephv":"0","gnid":"982a95fa8b831ea37","img_data":[{"flag":2,"img":[]}],"original":0,"pat":"art_src_1,fts0,sts0","powerby":"cache","pub_time":1665410922000,"pure":"","rawurl":"http://zm.news.so.com/9b1c0aedbaae8cc22be29d6fc14970b5","redirect":0,"rptid":"6a7a43171d6588f8","s":"t","src":"钛媒体APP","tag":[{"clk":"ktechnology_1:usdt","k":"usdt","u":""},{"clk":"ktechnology_1:黑客","k":"黑客","u":""}],"title":"技术解析BSC一亿美元的跨链桥Bug
离郑莫2297国内能炒作的区块链交易所有哪些 -
计彬黎15898828772 ______ 区块链金融交易平台开发包括: 跨境支付、供应链金融、保险、数字票据、资产证券化、银行征信等领域. ① 跨境支付.区块链去中介化、交易公开透明和不可篡改的特点,没有第三方支付机构加入,缩短了支付周期、降低费用、增加了交易...
离郑莫2297区块链的交易平台哪个好 -
计彬黎15898828772 ______ 个人感觉中币平台挺好的.
离郑莫2297亚数文化有什么平台优势?
计彬黎15898828772 ______ 亚洲数字文化交易所Asian Digital Culture Exchange简称Acde是一个集数字,货币交易、文化艺术品通证交易、企业产权通证交易、币物置换、区块链商城为一体的综合性超级区块链平台,业务涵盖:币币交易、OTC场外交易、区块链文交所、区块链企业产权交易所、共享竞拍商城、挖矿、余额宝、打新股、原始配售、收付款功能等
离郑莫2297Botcoinwin交易所正规吗?
计彬黎15898828772 ______ 正规哒,Botcoinwin交易所是链银(DBank)集团战略投资平台,公司总部设立于加拿大多伦多,拥有超过 100 人的开发,市场及运营支持团队,人员遍布东南亚,北美,南美以及东欧.公司持有澳洲数字货 币牌照,受到澳大利亚数字货币交易的法定政府监管机构 AUSTRAC(澳大利亚交易报告和分析中心)的监管,是妥妥的正规交 易平台.
离郑莫2297GTA基因链上线哪家交易所? -
计彬黎15898828772 ______ GTA 基因链已经在Coineal上线,全球排名前15的交易所,良心交易所了,用户体验不错.2020年5月14日11:15开放充提,5月15日11:15开放交易,交易对为:GTA/USDT
离郑莫2297谁知道GMQ交易平台官网? -
计彬黎15898828772 ______ 认准网站名称为GMQ Coin Ex | 全球区块链数字资产交易平台
离郑莫2297实现生产过程的几个“零”化管理包括()等. - 上学吧找答案
计彬黎15898828772 ______ 在注册官方网站,找到中文域名的注册页面,这里可以方便大家注册,复制链、接进入到注册页面.2根据个人对网站的需求,选择相应站点的后缀域名,点击搜索即可.3点击后缀注册按钮,会自动跳转到域名...