北京時間の2022年10月7日、成都連南ホークアイ・ブロックチェーン安全状況認識プラットフォーム世論監視によると、BNBチェーンのクロスチェーンブリッジ「トークンハブ」がハッカーに攻撃された。成都連安セキュリティチームの照合と追跡によると、7億1,000万米ドルがクロスチェーン部分を含まないバイナンスチェーン上の盗難資産であることが判明し、さらにクロスチェーン部分も含まれています。関与した金額は約8億5000万と推定されています。
副題
1 _BNBチェーンがハッカーの標的となった経緯
北京時間10月7日午前6時頃、BNBチェーンは異常な活動のため現在メンテナンス中であり、更なるアップデートが行われるまでBNBチェーンを通じたすべての入出金を一時的に停止するとツイートした。
BNBチェーンは別のツイートで、約7000万~8000万米ドルの資金が引き出され、700万米ドルが凍結されたと述べた。
7時41分、Binance CEOのChangpeng Zhao氏は、BNBチェーンのクロスチェーンブリッジ「Token Hub」(トークンハブ)の抜け穴がBNBの追加につながり、すべての検証者がBNBチェーンを一時停止するよう求められたとツイートした。資金は安全に保たれており、それに応じてさらなる最新情報が提供されます。
副題
2 _攻撃時間とハッキング手法の分析
10 月 7 日の 0:55 に、ハッカーはブロック高さ 21955968 のコントラクトに電話をかけて中継者として登録するために 100 BNB を支払いました。
ハッカーらは午前2時30分ごろから2段階(2時26分、4時43分)に分けてBNBチェーンの「TokenHub」システム契約から総額200万BNBを取得した。このうち90万BNBはBNBチェーン上の融資契約であるヴィーナスに抵当に入れられ、6,250万BUSD、5,000万USDT、3,500万USDCが貸し付けられる。
成都連南保安チームは今後、その手口を次のように分析する予定だ。
5) 計算されたルート ハッシュが、送信を成功させるためにステップ 1 で選択した正しいルート ハッシュと等しくなるように、ステップ 3 で追加したリーフ ノードを調整します。
1) 攻撃者はまず、送信に成功したブロック(指定ブロック:110217401)のハッシュ値を選択します。
2) 次に、検証された IAVL ツリー上のリーフ ノードとして攻撃ペイロードを構築します。
3) 任意の新しいリーフ ノードを IAVL ツリーに追加します。
4) 同時に、実現証明を満たすために空の内部ノードを追加します。
5) 計算されたルート ハッシュが、送信を成功させるためにステップ 1 で選択した正しいルート ハッシュと等しくなるように、ステップ 3 で追加したリーフ ノードを調整します。
6) 最後に、この特定のブロックの出金証明を構築します (110217401)
もちろん、さらに改良する必要がある詳細がいくつかありますが、成都連南セキュリティ チームは綿密な調査を行っており、その結果はできるだけ早く皆さんと共有する予定です。
成都連安市のセキュリティチームは、連碧匯仮想通貨事件インテリジェント調査・判断プラットフォームを通じて盗難資金を追跡・分析した結果、総額1億4,357万米ドルの盗難資金がクロスチェーン(ローンを含む)を通じて送金されたことが判明した。盗まれた資金のうち、7,739万米ドルがさまざまなクロスチェーンを通じてイーサリアムに送金され、5,896万米ドルがFTMチェーン(さまざまなgUSDTを含む)に残り、400万米ドルがArbitrumチェーンに、172万米ドルがPolygonの40万ドルと1.1ドルでした。楽観主義では100万人。
Lianbizhui-仮想通貨事件のインテリジェントな調査および判断モジュール インテリジェントな調査および判断プラットフォーム
Lianbizhui-仮想通貨事件のインテリジェントな調査および判断プラットフォームのアドレス分析モジュール
Lianbizhui-仮想通貨事件のインテリジェントな調査および判断プラットフォームの分析モジュール
副題
3 _ブロックを生成したBNB Chianを復元しても安全ですか?
10月7日9時半頃、BNBチェーンはソーシャルメディアに公式に投稿し、BNBチェーンのノード検証者に対し、ノードのアップグレードを計画できるよう数時間以内に連絡するよう要請したと発表した。
13:00、BNBチェーンはBSC v1.1.15バージョンがリリースされたとツイートし、BSCバリデーターは1時間以内にBNBスマートチェーン(BSC)を復元するよう調整中です。新しいバージョンでは、ハッキングされたアカウントに関連するアクティビティがブロックされます。 BNB ビーコン チェーンと BNB スマート チェーン間のネイティブ クロスチェーン通信は無効になっています。すべてのノード オペレーターに対して、上記のバージョンへのアップグレードを試みるように公式に要求します。バリデーターとコミュニティは、この問題に完全に対処するためのさらなるアップグレードについて話し合う予定です。
午後3時頃、BNBチェーンはBNBスマートチェーン(BSC)が20分以上前に順調に動作し始めたとツイートした。バリデーターはステータスを確認しており、コミュニティのインフラストラクチャはアップグレードされています。さらに、BscScan データは、BNB Chain ネットワークがブロック生産を再開したことを示しています。
副題
4 _最後にクロスチェーンブリッジのセキュリティについて説明
ブロックチェーンは長い開発期間を経てきたため、ブロックチェーンプロジェクト自体もブロックチェーンセキュリティ会社も以前よりもセキュリティに注意を払うようになりましたが、クロスチェーンブリッジのコードは複雑でオフチェーンを含むプロジェクトもあります。攻撃に対して非常に脆弱です。
クロスチェーン ブリッジは通常、大量のコードを含む大規模なプロジェクトです。複数のリンクを組み合わせると、複合的な脆弱性が発生する傾向があります。ただし、これらの脆弱性は比較的隠蔽されており、ハッカーによって悪用されやすいです。クロスチェーン ブリッジのもう 1 つの高リスク ポイントはオフチェーンのセキュリティです。オフチェーン コードは通常、オンチェーン コードとは別に監査され、プロジェクト当事者が通常セキュリティを保証するため、多くの抜け穴が見落とされます。
過去には、オフラインの脆弱性や秘密鍵の漏洩を利用したクロスチェーンブリッジ攻撃が多く発生しており、難易度は比較的高く、被害額も過去に比べて比較的高額でした。この事件はまた、抜け穴が予期せぬ場所にあることが多いことを私たちに思い出させます。そのため、ブロックチェーンの生態学的セキュリティをより適切に維持するには、プロジェクトのセキュリティを向上し続け、不純な動機を持つ問題よりも早くこれらの問題を発見するしかありません。
成都聯安は、ブロックチェーンセキュリティエコロジーの構築に専念する世界有数のブロックチェーンセキュリティ企業であり、ブロックチェーンセキュリティに形式的検証技術を適用した最初の企業でもあり、国内外の大手ブロックチェーン企業とパートナーシップを確立している。は、世界中で 2,500 を超えるスマート コントラクト、100 を超えるブロックチェーン プラットフォーム、およびランディング アプリケーション システムに対してセキュリティ監査および防御展開サービスを提供しました。成都聯南はチェーン全体で仮想通貨犯罪やマネーロンダリング対策の技術サービスに対処する能力も備えており、公安などの法執行機関に対し、これまで、期間中、そして現在、そして期間中、1000回以上のフルチェーン技術サポートサービスを提供してきました。事件後、通貨ミキサープラットフォームであるトルネードキャッシュに侵入したいくつかの事件を含め、数百億ドルに関わる事件の解明に協力した。公開アカウントのメッセージ ボックスをクリックしてご連絡ください。
