By:?Kong
據慢霧區情報,2022年10月7日,BNBChian跨鏈橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB,超5.7億美元。慢霧安全團隊分析后以簡析的形式分享給大家。和?BNB鏈之間的跨鏈橋)
簡要分析
1.在BNBChain與BSC跨鏈的過程中,會由BSC上部署的跨鏈合約調用預編譯的0x65合約對提交的appHash、key、vaule、proof進行IVAL樹驗證。IAVL樹是AVL樹的變種即是一種為鍵值提供可驗證根的AVL樹的實現。
CrnDex疑似被攻擊,導致損失3550個BNB:金色財經報道,根據SharkTeam鏈上分析平臺 ChainAegis 的安全監測,@CrnDex疑似被攻擊,導致損失3550個BNB(約合853K美元)。[2023/7/19 11:04:12]
2.驗證主要由IAVLValueOp與MultiStoreProofOp兩個op進行,IAVLValueOp會先通過ComputeRootHash計算roothash并進行驗證。驗證通過后會將輸出的roothash給到MultiStoreProofOp,MultiStoreProofOp將檢查獲得的roothash是否與lightClient獲得的一致。
Binance:BNB Beacon Chain錢包維護已開始,存取款將暫停約1小時:6 月12日消息,Binance 發布提醒稱,預定于北京時間 6 月 12 日 15 時對 BNB Beacon Chain(BEP2)進行的錢包維護已經開始。錢包維護期間,BNB Beacon Chain(BEP2)上的所有存款和取款將暫停大約 1 小時。維護完成后將恢復充值和提款。[2023/6/12 21:31:36]
BTC.b 新增支持 BNB Chain:5月29日消息,基于 LayerZero 的比特幣的封裝代幣 BTC.b 新增支持 BNB Chain,目前已在 Trade Joe 上開放交易。[2023/5/29 9:48:49]
3.ComputeRootHash將通過leafhash與restpath(innernode)進行遞歸hash并檢查是否與lastpathnode的right一致。
行情 | 三大平臺幣普跌 BNB下跌3.06%:據AICoin數據顯示,截至目前主流平臺幣種概況如下:OKB現價2.74美元,24h下跌1.79%,資金凈流入249.65萬美元,市值為8億美元;HT現價4.01美元,24h下跌1.23%,資金凈流出328.11萬美元,市值為12.44億美元;BNB現價20.3美元,24h下跌3.06%,資金凈流入31.09萬美元,市值為31.57億美元。[2019/9/23]
4.而在具體的leafnode與innernode的哈希計算中我們可以看到當left為空時將計算leaf與right的hash,當right為空時將計算leaf與left的hash。但當left與right都存在的情況下,那么將忽略right,計算leaf與left的hash,即roothash將不會受right影響。
5.因此我們可以知道在path中,當left與right都存在的情況下將忽略right,返回leaf與left的hash,在遞歸哈希檢查中則會檢查此hash與lastpathnode的right是否一致。這就出現了在遞歸檢查中檢查了right,而在roothash計算中卻又忽略了right的情況。導致攻擊者可以在path中加入一個leaf與innernode的hash作為lastpathnode的right并添加一個空的innernode確保可驗證。使得在保持roothash不受影響的情況下插入了惡意的數據以竊取資金。
MistTrack分析
據慢霧?MistTrack反洗錢追蹤系統分析,這次黑客攻擊的初始資金來自ChangeNOW。
本次攻擊事件的黑客地址曾與多個DApp交互,包括Multichain、VenusProtocol、AlpacaFinance、Stargate、Curve、Uniswap、TraderJoe、PancakeSwap、SushiSwap等。此外,黑客轉移至以太坊上的?480萬?USDT?已被?Tether?列入黑名單,AVAX上的170萬USDT已被列入黑名單,Arbitrum上的200萬枚USDT已被列入黑名單。而由于BNBChain的及時暫停,黑客在BSC上的超4.1億美元已無法轉移。10月8日,黑客地址轉移約33,771枚ETH至0xFA0a3開頭的新地址,約合?4,500萬美元。
慢霧MistTrack將持續監控被盜資金的轉移。
Tags:ASHHASHBNBGHTglobalhashpowerxHashtagBNBTCKnight War The Holy Trio
頭條 ▌伊朗比特幣倡導者ZiyaSadr被伊朗安全部隊逮捕金色財經報道,據多個消息來源稱,伊朗的比特幣倡導者ZiyaSadr上個月被伊朗安全部隊逮捕.
1900/1/1 0:00:00作者:Alchemy 來源:alchemy.com為了從Optimism檢索數據,dApp需要通過RPC節點發送檢索請求.
1900/1/1 0:00:00撰文:Vivian 不管是對于希望入門NFT世界的愛好者,還是對于NFT領域的分析專家,NFT聚合交易將為用戶打開了一扇通往NFT未來的大門.
1900/1/1 0:00:005月11日,以太坊聯合創始人VitalikButerin與研究員GlenWeyl、PujaAhluwaliaOhlhaver等人共同發表了論文《去中心化社會:尋找Web3的靈魂》.
1900/1/1 0:00:00根據艾瑞咨詢《2022年互聯網創作者經濟白皮書》,創作者經濟是指“互聯網內容創作者在創作工具、內容分發平臺及一系列其他創作者相關服務的幫助下產生經濟收益.
1900/1/1 0:00:00原文標題:《TheNextBigCryptoNarrative》 原文作者:Matti 原文翻譯:Jack(0x137),BlockBeats當大多數人還在試圖適應熊市時.
1900/1/1 0:00:00