北京时间今天上午,BNBChian跨链桥BSCTokenHub遭遇攻击。黑客利用跨链桥漏洞分两次共获取200万枚BNB,价值约5.66亿美元。和BNB链之间的跨链桥。)
消息一出,BNB价格在2小时内一度下跌近5%,跌至278.7美元低点,现报价284美元,24小时跌幅4.24%。
根据BNBChain的说法,从BSC提取的资金的初步估计在1亿美元至1.1亿美元之间。并且,Tether也在第一时间将黑客地址列入黑名单。“感谢社区和我们的内部和外部安全合作伙伴,估计700万美元已经被冻结。”
Binance创始人CZ在社交媒体上发文表示,目前币安已要求所有验证者暂停BSC网络,用户的资金是安全的,对于给用户带来的不便深表歉意,并将相应地提供进一步的更新。
1inch:分配给解析器激励计划的1000万枚INCH已启动发放:1月26日消息,DEX聚合器1inch Network表示,此前分配给解析器激励计划的1000万枚INCH Token已启动发放,旨在激励更多1INCH利益相关者将其UnicornPower委托给解析器,同时补偿解析器为满足用户的Fusion订单而支付的Gas费用。
据悉,每个解析器收到的Token数量将取决于其网络份额,预计每周将分发25万枚1INCHToken。此前消息,去年12月,1inch宣布推出1inch Resolver激励计划,旨在为补偿解析器为满足用户的Fusion订单而支付的Gas费用。该计划于2022年12月24日启动,总计将发放1000万枚1INCH Token。[2023/1/26 11:30:44]
针对具体的攻击方式,Paradigm研究员samczsun在社交媒体上发文表示,链上数据及相关代码显示,BSC跨链桥的验证方式存在BUG,该BUG可能允许攻击者伪造任意消息;本次攻击中,攻击者伪造信息通过了BSC跨链桥的验证,使跨链桥向攻击者地址发送了200万枚BNB。
奇虎360公开“基于联盟区块链的标识解析方法”专利:8月30日消息,北京奇虎科技有限公司、中国信息通信研究院日前联合公开一种“基于联盟区块链的标识解析方法、装置、存储介质及服务器”专利,申请日期为2021年4月29日,申请公布号:CN113315811A。天眼查App显示,该专利属于计算机技术领域。方法包括在第一对外节点接收到标识解析请求的情况下,从第一对外节点对应的本地数据库中查询是否存在与标识解析请求中的标识符对应的IPFS哈希值。
若未查询到IPFS哈希值,则基于标识解析请求向联盟区块链中除第一对外节点之外的其他节点发送第一查询请求;接收由联盟区块链中响应于第一查询请求的节点发送的IPFS哈希值,并基于IPFS哈希值通过第一对外节点访问IPFS服务,以获取IPFS哈希值对应的标识解析信息由此可有效提高对标识解析过程的安全性,保证通过标识解析得到的数据不易被篡改。(邮箱网)[2021/8/30 22:45:51]
事情的起因是@zachxbt突然把攻击者的地址发给了我。当我点击进去的时候,我看到了一个价值数亿美元的账户;要么是有项目rug跑路,要么就是正在进行大规模的黑客攻击。
分析 | 资金流入榜首DASH盘面解析:在过去24小时中,DASH在各主流币中非常强势,资金净流入31.97亿人民币。从图中可以看出,DASH目前4小时走势处于上升楔形三角中,底部不断抬高,100均线上穿长期200均线,表明近期压力位将会上移,并且MA100和MA 200将会对币价起到支撑作用,不过目前两均线的缺口在收窄,说明近期上冲动能在逐步减弱,RSI显示进入超买区域,短期有回撤蓄势的需求,上方压力95,下方支撑89,收盘若站稳89上方,还会有上涨空间,反之币价可能回撤至三角底部$75附近寻求支撑。利好消息面,区块链支付服务PolisPay宣布与Dash合作,将支持其万事达卡借记卡。[2019/3/13]
一开始,我以为@VenusProtocol又被黑了。然而,很快我就确定了攻击者“真的”向Venus存入了超过2亿美元。这时我就需要弄清楚这些资金的来源。
动态 | 日本Catabira推出基于区块链的数据解析平台:据Prtimes消息,日本信息服务商Catabira宣布推出基于区块链的商业服务级数据解析平台Catabira Insights For Blockchain,将利用区块链技术不可篡改的特性保证调查数据的真实性。[2018/11/8]
答案是,攻击者以某种方式说服了币安跨链桥,直接给他们发送了1,000,000BNB,而且是两次。
要么币安推出Web3有史以来最大的“礼包”,要么攻击者发现了一个严重的漏洞。我首先将攻击者的交易与合法提款进行比较。我注意到的第一件事是攻击者使用的高度始终相同——110217401,而合法提款使用的高度要大得多,例如270822321。
我还注意到攻击者的证明明显短于合法提款的证明。这两个事实使我确信,攻击者已经找到了一种方法来伪造该特定区块的证明。现在,我必须弄清楚这些证明是如何工作的。
在Binance上,有一个特殊的预编译合约用于验证IAVL树。如果您对IAVL树一无所知,也不要担心,因为有95%的内容我都不懂。幸运的是,你和我所需要的只是剩下的5%。
基本上,当你验证一个IAVL树时,你指定了一个“操作”列表。币安跨链桥通常需要两个操作:“iavl:v”操作和“multistore”操作。以下是它们的实现:https://github.com/bnb-chain/bsc/blob/46d185b4cfed54436f526b24c47b15ed58a5e1bb/core/vm/lightclient/multistoreproof.go#L106-L125
为了伪造证明,我们需要两个操作都成功,并且我们需要最后一个操作返回一个固定值。
通过查看?implementation,我们可以发现,操纵根哈希是不可能的,或者至少非常困难。这意味着我们需要我们的输入值等于其中一个提交id。
“multistore”操作的输入值是“iavl:v”操作的输出值。这意味着我们想以某种方式控制这里的根变量,同时仍然通过值验证。
那么如何计算根哈希?它发生在一个名为COMPUTEHASH的函数中。在非常高的层次上,它递归地遍历每条路径和叶节点并进行大量的哈希运算。
https://github.com/cosmos/iavl/blob/de0740903a67b624d887f9055d4c60175dcfa758/proof_range.go#L237-L290
实际上实现细节并不重要,重要的是,由于哈希函数的工作方式,我们基本上可以肯定地说,任何(path,nleaf)对都会产生唯一的哈希。如果我们想伪造证据,这些就得保持不变。
查看证明在合法交易中的布局方式,我们看到它的路径很长,没有内部节点,只有一个叶节点,这个叶节点包含我们恶意载荷的哈希值!如果我们不能修改这个叶节点,那么我们需要添加一个新的叶节点。
当然,如果我们添加一个新的叶节点,我们还需要添加一个新的内部节点来匹配。
现在我们只需要面对最后一个障碍。我们如何真正让COMPUTEHASH返回我们想要的根哈希?好吧,请注意,最终我们将需要一个包含非零右哈希的路径。当我们找到一个匹配时,我们断言它与中间根哈希匹配。
让我们稍微检测一下代码,这样我们就可以弄清楚我们需要什么哈希,然后剩下的就是把它们放在一起,我们将采用合法证明并对其进行修改,以便:
1)我们为伪造的有效负载添加一个新叶节点;
2)我们添加一个空白内部节点以满足证明者;
3)我们调整我们的叶节点以使用正确的根哈希提前退出
https://gist.github.com/samczsun/8635f49fac0ec66a5a61080835cae3db…
值得注意的是,这不是攻击者使用的确切方法。他们的证明路径要短得多,我不确定他们究竟是如何生成的。但是,漏洞利用的其余部分是相同的,我相信展示了如何从头开始构建它是有价值的。
总之,币安跨链桥验证证明的方式存在一个错误,该错误可能允许攻击者伪造任意消息。幸运的是,这里的攻击者只伪造了两条消息,但损害可能要严重得多。
比特币(BTC)在20,000美元左右的盘整继续发挥作用,在持续的加密冬季期间,旗舰加密货币似乎在该地区稳定。然而,投资者正在监控资产的价格趋势,以寻找下一步行动的信号.
以太坊鲸鱼投资者一直对ETH价格产生影响。这是因为他们利用自己的持股在ETH市场上创造了他们想要的趋势。但根据CryptoQuant的数据,它们的影响正在引起更多关注.
介绍 加密空间一直在寻找L1、L2和NFT之后的下一个叙事。我们认为互操作性是下一个最有可能的主导叙事,因为它将当前隔离的区块链生态系统结合在一起,就像全球化如何将世界经济融为一体一样.
10月10日消息,火币真正收购者仍为孙宇晨。多个知情人士表示,百域资本旗下并购基金实际的核心出资人其实是波场创始人孙宇晨,孙宇晨本人在10月8日新加坡交割现场,目前孙宇晨方面正在大力招聘,火币部.
Gate.io量化跟單福利大派送!你跟單,我買單第四期開啟,參與活動即可用量化體驗金開啟“免費”量化跟單之旅!活動表單:https://go.gate.io/w/D7OTFqnb活动一:無門檻派.
近期都是讲空投教程,好久没聊聊爆火的项目了。相信最近两天小伙伴或多或少都听到XENCrypto,一个基于以太主网的$XEN挖kuang协议,过去24小时项目以太GAS消耗排名第一,已消耗超137.