以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

ASH:BNB CrossChain Bridge 被黑簡析

Author:

Time:1900/1/1 0:00:00

By:?Kong

據慢霧區情報,2022年10月7日,BNBChian跨鏈橋BSCTokenHub遭遇攻擊。黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB,超5.7億美元。慢霧安全團隊分析后以簡析的形式分享給大家。和?BNB鏈之間的跨鏈橋)

簡要分析

1.在BNBChain與BSC跨鏈的過程中,會由BSC上部署的跨鏈合約調用預編譯的0x65合約對提交的appHash、key、vaule、proof進行IVAL樹驗證。IAVL樹是AVL樹的變種即是一種為鍵值提供可驗證根的AVL樹的實現。

安全公司:BNBChian的MevBot被利用,損失約9.6萬美元:7月4日消息,據Web3網絡安全公司Ancilia監測,BNBChian的MevBot被利用,損失約9.6萬美元,黑客為0x0070開頭地址。[2023/7/4 22:17:24]

2.驗證主要由IAVLValueOp與MultiStoreProofOp兩個op進行,IAVLValueOp會先通過ComputeRootHash計算roothash并進行驗證。驗證通過后會將輸出的roothash給到MultiStoreProofOp,MultiStoreProofOp將檢查獲得的roothash是否與lightClient獲得的一致。

BNB Chain計劃于5月中旬上線OpBNB測試網,6月1日上線ZkBNB主網:4月21日消息,BNB Chain發布第一季度技術更新,包括Greenfield測試網已上線,降低交易費用、BSC驗證者自我權益更新、MEV研究、Planck硬分叉升級。同時,該文還指出,計劃于5月中旬上線OpBNB測試網,6月1日上線ZkBNB主網,并完成BEP-206提案。[2023/4/21 14:18:46]

Flare API 門戶已集成BNB Chain:4月14日消息,公鏈Flare Network宣布其Flare API 門戶已集成BNB Chain。據悉,Flare API已適用于比特幣、以太坊、BNB Chain、狗狗幣、萊特幣、XRPL和Algorand,以及Flare的網絡Flare、 Songbird、Coston1和Coston2。該API門戶計劃為Flare集成的每個網絡添加API。[2023/4/14 14:03:57]

3.ComputeRootHash將通過leafhash與restpath(innernode)進行遞歸hash并檢查是否與lastpathnode的right一致。

.bnb域名服務已集成BscScan:金色財經報道,去中心化域名協議SPACEID的.bnb域名服務已集成BNB Chain上區塊鏈瀏覽器和分析平臺BscScan,集成后的功能包括:使用.bnb域名搜索鏈上交易數據、在BscScan上顯示人類可讀的.bnb域名而不是傳統地址、.bnb域名服務查找頁面、.bnb域詳細信息頁面、在BscScan交易信息頁面上顯示.bnb域交易詳細信息、為每個.bnb域提供相關圖表等。[2023/1/31 11:38:12]

4.而在具體的leafnode與innernode的哈希計算中我們可以看到當left為空時將計算leaf與right的hash,當right為空時將計算leaf與left的hash。但當left與right都存在的情況下,那么將忽略right,計算leaf與left的hash,即roothash將不會受right影響。

5.因此我們可以知道在path中,當left與right都存在的情況下將忽略right,返回leaf與left的hash,在遞歸哈希檢查中則會檢查此hash與lastpathnode的right是否一致。這就出現了在遞歸檢查中檢查了right,而在roothash計算中卻又忽略了right的情況。導致攻擊者可以在path中加入一個leaf與innernode的hash作為lastpathnode的right并添加一個空的innernode確保可驗證。使得在保持roothash不受影響的情況下插入了惡意的數據以竊取資金。

MistTrack分析

據慢霧?MistTrack反洗錢追蹤系統分析,這次黑客攻擊的初始資金來自ChangeNOW。

本次攻擊事件的黑客地址曾與多個DApp交互,包括Multichain、VenusProtocol、AlpacaFinance、Stargate、Curve、Uniswap、TraderJoe、PancakeSwap、SushiSwap等。此外,黑客轉移至以太坊上的?480萬?USDT?已被?Tether?列入黑名單,AVAX上的170萬USDT已被列入黑名單,Arbitrum上的200萬枚USDT已被列入黑名單。而由于BNBChain的及時暫停,黑客在BSC上的超4.1億美元已無法轉移。10月8日,黑客地址轉移約33,771枚ETH至0xFA0a3開頭的新地址,約合?4,500萬美元。

慢霧MistTrack將持續監控被盜資金的轉移。

Tags:BNBASHHASHGHTtogetherbnb房東模擬器Niobio CashHashflowLIGHT價格

火必交易所
RAP:加密采用兩極分化:拉美走莊康大道 歐洲通往死胡同

原文:《TheDeadendofEurocentricCrypto》編譯:BolckUnicorn Polynya在上圖的推文里完美地框定了這篇帖子:到目前為止.

1900/1/1 0:00:00
NAR:梳理ZK技術史:會是下一個千億應用的沃土嗎?

原文標題:《我們研究了ZK的技術史,發現下一個千億應用蘊藏其上》原文作者:Web3研究型組織R3PO加密世界的焦點經歷了比特幣、以太坊、DeFi、NFT、元宇宙和Web3的多次變遷.

1900/1/1 0:00:00
ANC:哪些特征使頂級 DeFi 收益聚合器與眾不同?

Sept.2022,ThiagoFreitasDataSource:?FootprintAnalytics-YieldAggregatorsComparison收益聚合器是自動化過程的協議.

1900/1/1 0:00:00
GAL:知情人士:火幣真正收購者是孫宇晨

10月10日消息,火幣真正收購者仍為孫宇晨。多個知情人士表示,百域資本旗下并購基金實際的核心出資人其實是波場創始人孫宇晨,孫宇晨本人在10月8日新加坡交割現場,目前孫宇晨方面正在大力招聘,火幣部.

1900/1/1 0:00:00
TOKEN:一文梳理 DeFi 現有的4種固定收益模型

原文標題:《FixedRateYieldsThatOutperformETHStaking》原文作者:JackInabinet,Bankless原文編譯:Jack(0x137).

1900/1/1 0:00:00
加密貨幣:晚間必讀 | 不要指望CeFi去拯救以太坊

1.金色觀察|GameFi的發展路徑AxieInfinity在2021年初的持續流行,讓一個詞火了——P2E.

1900/1/1 0:00:00
ads