日期:2023-03-17
来源:玫瑰财经网
浏览:次
雨:康克
据慢雾地区信息显示,2022年10月7日,BNB Chian穿过链桥BSC Token Hub遭到袭击。黑客利用链桥漏洞,两次共获得200万个BNB,超过5.7亿美元。慢雾安全组分析后,将以简明的形式与大家分享。(注:BSC托肯香草呢BNB信标链(BEP2)和BNB链(BEP20或BSC)之间的交叉链桥)
简要分析
1.在BNB Chain和BSC交叉链期间,BSC部署的交叉链协议将调用预编译的0x65协议,对提交的appHash、密钥、vaule和proof进行IVAL树验证。IAVL树是AVL树的实现,它是AVL树的变体,为键值提供了可验证的根。
2.验证主要由IAVLValueOp和MultiStoreProofOp两个Op执行
,IAVLValueOp首先通过ComputeRootHash计算和验证RootHash。通过验证后,输出roothash将传递给MultiStoreProofOp,MultiStoreProofOp将检查获得的roothash是否与获得lightClient相匹配。3.ComputeRootHash通过leaf Hash与rest path(innernode)递归执行hash,并确保与last path node的right相匹配。
4.在特定leafnode和innernode的散列计算中,可以看到在left为空时计算leaf和right的hash,在right为空时计算leaf和left的hash。但是,如果同时存在left和right,则会忽略right,并计算leaf和left的hash。换句话说,roothash不受right的影响。
5.因此,如果path中同时存在left和right,则会忽略right,返回leaf和left的hash,迭代散列检查可以验证与last path node的right是否匹配。这是递归检查确认了right,但在roothash计算中忽略了right的情况。允许攻击者将leaf和innernode的hash作为last path node的right添加到path中,并添加空的innernode进行验证
。在不影响根散列值的情况下插入恶意数据,可以窃取资金。MistTrack分析
根据慢雾MistTrack反洗钱追踪系统分析,此次黑客攻击的最初资金来自ChangeNOW。
此次攻击的黑客地址还与多个DApp进行了交互,包括Multichain、Venus Protocol、Alpaca Finance、Stargate、Curve、Uniswap、Trader JOE和pancake480万美元USDT已经泰德被列入黑名单,AVAX有170万USDT被列入黑名单,Arbitrum有200万USDT被列入黑名单。BNB Chain的及时暂停使BSC无法再转移黑客的4.1亿美元以上。10月8日,黑客地址从约33,771个ETH移至0xFA0a3开头的新地址。4500万美元。
慢雾MistTrack将持续监控被盗资金的转移。
单击下载
European Exchange金融投资European Exchange(也称为Eurokx)是世界领先的数字资产交易所,为全球用户提供比特币、莱特货币、以太网货币等数字资产的现货和衍生品交易服务,并使用区块链技术为全球交易者提供高级金融服务。这是一个非常古老的数字货币交易平台,平台为我们提供安全、专业的数字货币交易经验,为新手提供完整的流程指导,使其易于启动
,通过客服24小时在线回复提供最佳服务。500吨汽车吊作业性能表(汽车吊支腿反力及抗倾覆验算)
石碣镇汽车站(今天,石碣汽车客运站恢复运营)
招贤汽车站(9月14日起,莒县K601路增开大站快车)
北京福田汽车图片(自重不到两吨,详解福田领航S1小卡)
东风轻型汽车(“东风轻型车”横空出世 未来无人驾驶车将快递送到家门口)
周口市汽车东站(郑阜高速铁路上的主要客运站——周口东站)
Copyright (c) 2022 玫瑰财经网 版权所有
备案号:冀ICP备17019481号
玫瑰财经网发布此信息的目的在于传播更多信息,与本站立场无关。玫瑰财经网不保证该信息(包含但不限于文字、视频、音频、数据及图表)全部或者部分内容的准确性、真实性、完整性、有效性、及时性、原创性等。
相关信息并未经过本网站证实,不对您构成任何投资建议,据此操作,风险自担。