BNB Chain bol dočasne pozastavený po zneužití na jeho krížovom moste. Súčasný odhad dopadu je okolo 100 miliónov USD a ekvivalent 110 miliónov USD kryptomeny.
Podľa najnovšej aktualizácie reťazec BNB opäť funguje ako zvyčajne, ale pozrime sa, ako sa hack pokazil, podľa populárneho výskumníka.
Exploit
Výskumník paradigmy Sam Sun uvedený že útočník nejako presvedčil Binance Bridge, aby poslal 1 milión BNB na adresu, ktorú ovládali. Krok opakovali dvakrát. Po porovnaní transakcií útočníka s legitímnymi výbermi si Sun všimol, že výška použitá útočníkom bola vždy rovnaká – 110217401. Výšky používané pri legitímnych výberoch však boli oveľa väčšie, ako napríklad 270822321, upozornil výskumník.
Ďalej poznamenal, že útočníkov dôkaz bol výrazne kratší ako legitímny dôkaz o stiahnutí, čo znamená, že našli spôsob, ako „sfalšovať dôkaz“ pre tento konkrétny blok – 110217401.
Binance má špeciálnu zmluvu na predkompiláciu, ktorá sa používa na overenie stromov IAVL. Keď používateľ overí strom IAVL, musí zadať zoznam „operácií“. Binance Bridge zvyčajne očakáva dve z nich: operáciu „iavl:v“ a operáciu „multistore“, špecifikoval Sun. Útočníkovi sa podarilo zneužiť chybu v Binance Bridge, ktorá overila dôkazy umožňujúce útočníkom falšovať ľubovoľné správy.,
Zatiaľ čo útočník sfalšoval iba dve správy, výskumník tvrdil, že poškodenie mohlo byť oveľa horšie.
Rovnaká dilema
Generálny riaditeľ spoločnosti Binance Changpeng Zhao potvrdené exploit po tom, čo boli validátori požiadaní o dočasné pozastavenie BSC a odhalili, že problém bol pod kontrolou.
„Počiatočné odhady finančných prostriedkov stiahnutých z BSC sú medzi 100 až 110 miliónmi dolárov. Vďaka komunite a našim interným a externým bezpečnostným partnerom však už bolo zmrazených približne 7 miliónov dolárov. Sme poctení rýchlosťou a spoluprácou komunity pri zmrazovaní finančných prostriedkov.“
Najnovší exploit BNB Chain a následné kroky podniknuté Binance mohli kontrolovať škody, ale komunita opäť čelí rovnakej dileme okolo decentralizácie. Bartek Kiepuszewski, blockchainový architekt MakerDAO, vyjadril podobný názor vo svojom tweet ohľadom toho istého,
"Chceme jednoduchý most, ale s dôveryhodnými validátormi, ktorí môžu cenzurovať, zmraziť alebo zabaviť finančné prostriedky, alebo chceme nedôveryhodnú, ale podstatne komplikovanejšiu infraštruktúru?"
Binance Free 100 $ (exkluzívne): Použite tento odkaz zaregistrovať sa a získať 100 $ zadarmo a 10 % zľavu na poplatky na Binance Futures prvý mesiac (podmienky).
Špeciálna ponuka PrimeXBT: Použite tento odkaz zaregistrujte sa a zadajte kód POTATO50, aby ste na svoje vklady dostali až 7,000 XNUMX $.
Zdroj: https://cryptopotato.com/heres-how-the-multi-million-bnb-chain-hack-went-down-paradigm-researcher/