BNB BRIDGE - REKT

“Bi kapat aç, belki çalışır?”

Binance'in isimlendirme sistemi kadar karmaşık bir saldırıda 2 milyon BNB çalındı.

BSC Token Hub, eski Binance Beacon Zinciri ile BSC arasındaki BNB köprüsü, şimdi ise BNB Zinciri… doğrudan hacker adresine iki partide 1M BNB basılarak istismar edildi.

Saldırı sırasındaki değeri 293 dolar olan BNB fiyatı ile hesaplandığında, çalınan 2M BNB 586 milyon dolar değerine ulaşıyor (lider tablosunda 3. sıra).

Ancak hacker, fonların geri kalanına tamamen erişimi kaybetmeden önce, çaldıklarının sadece 127 milyon doları ile diğer zincirlere kaçmayı başarabildi.

“Olağandışı aktivite”yi fark ettikten sonra, DeFi'ın 3. en büyük L1 zincirinde yaklaşık 8 saat boyunca işlemler duraklatıldı.

Peki, kendi fonlarına erişemeyen diğer tüm kullanıcılara ne olacak?

Acil bir durumda fona ihtiyaç duyan veya pozisyonları ulaşamayacağı için potansiyel olarak likidasyon ile karşı karşıya kalanlar bu esnada ne yapacak…

...Binance ne derse o.

Şimdi silinen bir tweet'te CZ saldırı devam ederken şunu söyledi: “Bu nakit akışıyla ilgili değil; bu kripto akışı ile ilgili.”

Kaynak: samczsun, FrankResearcher

Saldırgan, eski Binance Beacon Chain üzerinde sahte yatırma kanıtları kullanarak, her biri 1M BNB'lik işlemi iki partide basmak için BNB köprüsünden faydalandı. İşlemler 18:26 UTC ve 20:43 UTC'de gerçekleşti.

Köprü, saldırganın, Ağustos 2020'den itibaren özellikle 110217401 numaralı blok için taklit edebildiği istismara açık IAVL doğrulamasını kullanıyor.

İstismarcının adresi: 0x489a8756c18c0b8b24ec2a2b9ff3d4d447f79bec

samczsun'un dediği gibi:

Özetle, Binance Bridge'in kanıtları doğrulama biçiminde saldırganların kendi istekleri doğrultusunda mesajlar verdirebilecekleri bir hata vardı. Neyse ki, burada saldırgan sadece iki mesaj ile yetindi, yani hasar çok daha kötü olabilirdi.

Ayrıntılar için buraya bakabilirsiniz.

BNB'yi doğrudan boşaltmak ve fiyat hareketine dikkat çekmek yerine, fonlar BSC borç verme platformu Venus Protocol'e teminat olarak yatırıldı. Kargaşanın ortasında, Venus ekibi, borç likiditesi çekilirken kullanıcıları oranlarda bir artışa maruz kalmış olmalarına rağmen protokollerinin bir istismardan etkilenmediğini belirtmek istedi.

Satmak yerine borç alma taktiği, başlangıçta bazılarının bunun sadece devasa bir balinanın fonları hareket ettirdiğine inanmalarına neden oldu. Bununla birlikte, kullanıcılar yüksek slipajlı swapları ve Tether’in kara listeye aldığı fonları fark etmeye başladıkça, bunun daha boktan bir şey olduğunu anlamaya başladılar.

Muhtemelen istismarcı, Binance'in zinciri durduracağını tahmin ettiğinden, ganimetin mümkün olduğu kadar çoğunu diğer zincirlere köprülemek ve çıkartmak için likidite bulmaya uğraştı.

SlowMist, fonların hareketini takip etti. İlk olarak saldırgan, Ethereum, bazı L2ler, Fantom (şu anda TVL'nin %10'unu oluşturuyor), Avalanche ve Polygon ağlarına köprülemeden önce, Venus'e 900 bin BNB yatırdı ve toplam 147 milyon dolarlık çeşitli stablecoinleri borç aldı.

Dondurulmuş USDT de (toplam 6,5 milyon dolar) dahil olmak üzere istismarcının pozisyonlarının dökümü için aşağıdaki SlowMist’in tablosuna bakabilirsiniz.

BNB ekibi, ikinci işlemden yaklaşık 90 dakika sonra zinciri durdurduğunda, hacker hala BSC adresinde bulunan yaklaşık 430 milyon dolara artık erişimini kaybetmiş oldu. Hacker’ın adresleri saldırı öncesi başlangıçta ChangeNOW borsası üzerinden finanse edilmiş.

Olaydan bu yana Binance iletişimleri ve bildirimleri itibari zararı önlemek için uçak moduna geçti.

Resmi bir güncellemede, “merkeziyetsiz zincirlerin durdurulmak üzere tasarlanmadığını” belirtiyorlar. Yani şimdi yalnızca “26 aktif doğrulayıcı” ile BNB zincirini merkeziyetsiz olarak nitelendirebiliyor muyuz?

Ve hiç bu zamana kadar, gerçekten güvenilir bir şekilde merkeziyetsiz oldular mı?

Güncelleme ayrıca, çalınan fonların dondurulması veya yakılmasına karar vermek için yönetişim oylamaları ile hata bulma ve beyaz şapka ödül programları oluşturulması gibi bazı sonraki adımları da içeriyor.

“Topluluğa ait validatör” sayısı, “daha fazla merkeziyetsizliğe doğru hareket” (veya azaltılmış sorumluluk) ile de artırılacaktır.

Zincir dışına kaçan fonları karşılamak, Binance için okyanusta bir damla.

Ve CZ'nin değerin onun için neye denk geldiğini örneklemek amacıyla açıkça belirttiği gibi: "Mevcut etki tahmini, 100 milyon dolar eşdeğerinde, son BNB yakımının yaklaşık sadece dörtte biri."

Bununla birlikte, Binance CEO'su olaydan kendini şahsen sıyırmaya çalışarak “BNB Zincirinin teknik tarafına çok da dahil olmadığını, ETH ile Vitalik arasındaki bağlantıdan bile daha az olduğunu” tweetledi. Muhtemelen bir DeFi günah keçisi arayan herhangi bir regülatörün dikkatini başka bir yere yönlendirmesi gerektiğine ikna etmeye çalışmakta…

Zincir eğer duraklatılabiliyorsa, neden daha önce ele aldığımız diğer tüm BSC hack'leri için de duraklatılmadı? Ve bu eylem, tüm zaman boyunca kontrolün onlarda olduğu açıkken, regülatörlerin gözünde nasıl görünecek…

Daha da önemlisi, böylesine yoğun bir şekilde kullanılan bir ağda “pause” düğmesine istenildiğinde basılması tehlikeli bir emsal oluşturdu. Günlük işlemler için kitlesel kripto benimsenmesine ulaşırsak, zincir durdurmaları nihayetinde hayat memat meselesi olduğunda bu eylemlerin nasıl haklı bir yönü olabilir?

Ancak 2019'daki bu videonun gösterdiği gibi, CZ blok zincirlerinin değişmezliğini kutsal olarak görmüyor. Plan hiçbir zaman ilerlememiş olsa da, “geniş kapsamlı sonuçlara” ve “güvenilirliği yok etme” riskine rağmen Bitcoin ağının yeri geldiğinde geri çekilebileceğini düşünüyor.

BNB'nin “DeFi”da yer alması bugünden sonra herhangi bir güvenilirliği sürdürebilecek mi?

Şimdilik bu sadece bir başka köprü istismarı ve lider tablosuna bir başka tepeden giriş...

REKT, anonim yazarlar için halka açık bir platform olarak hizmet eder, REKT'te bulunan görüşler veya içerik için hiçbir sorumluluk kabul etmiyoruz.

bağış yap (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

sorumluluk reddi:

REKT, Web Sitemizde veya hizmetlerimizle bağlantılı olarak web sitemizin ANON yazarı veya REKT tarafından gönderilen, yayınlanan veya neden olunan hiçbir içerikten hiçbir şekilde sorumlu veya yükümlü değildir. Anon yazarın davranışları ve gönderileri için kurallar sağlamamıza rağmen, onun web sitemizde veya hizmetlerimizde yayınladığı, ilettiği veya paylaştığı şeylerden sorumlu değiliz veya web sitemizde ve hizmetlerimizde karşılaşabileceğiniz herhangi bir saldırgan, uygunsuz, müstehcen, yasa dışı veya başka şekilde sakıncalı olan içerikten sorumlu değiliz. REKT, Web Sitemizin veya Hizmetlerimizin herhangi bir kullanıcısının çevrimiçi veya çevrimdışı davranışlarından sorumlu değildir.