BNB桥- 翻车

“你有试过把机器关掉再打开吗？”

200万BNB在与Binance的命名体系一样复杂的黑客攻击中被盗。

BSC Token Hub，是旧币安链Binance Beacon Chain和新币安链BSC（现在改名BNB 链）之间的跨链桥，被黑客利用来直接铸造两批100万BNB并发送到其地址。

BNB的当时价格为293美元，被盗的200万BNB总计5.86亿美元（在rekt排行榜上排名第三）。

黑客只成功地把1.27亿美元转移到了其他链上，然后失去了对其余资金的使用权。

因为在注意到“异常活动”后，币安把BNB链这个DeFi的第三大 L1暂停了约8小时。

但是，所有无法访问自己资金的用户怎么办？

那些在紧急情况下可能需要资金，或者面临清算的人……

...币安想要停多久就停多久。

在一条现已删除的推文中，当攻击正在进行时CZ 说：“这与现金流无关；这是加密货币流。 ”……

以下信息来自：samczsun , FrankResearcher

黑客利用BNB桥，通过在Binance Beacon Chain上伪造存款证明，分别在两条链上铸造了一批1百万BNB。交易发生在UTC时间18:26和UTC时间20:43 。

黑客利用了IAVL 验证的漏洞，使其能够伪造从2020年8月开始的区块高度为110217401以后的块。

黑客地址： 0x489a8756c18c0b8b24ec2a2b9ff3d4d447f79bec

正如samczsun所说：

总之，Binance Bridge验证证明的方式存在一个漏洞，允许攻击者伪造任意消息。不幸中的万幸，这里的黑客只伪造了两条消息，不然损害可能要严重得多。

有关详细说明，请参阅完整推特。

与其直接抛售BNB并引起人们对价格走势的关注，黑客竟将资金作为抵押品存放在BSC借贷平台Venus Protocol上。在人们的不解当中， Venus团队急切地指出，他们的协议没有受到攻击，但借贷利率已然飙升，因为不安的用户着急的撤出流动性资金。

黑客拿被盗资金去借贷而不是砸盘的策略最初使一些人相信这可能只是一个巨鲸转移资金。然而，随着用户开始注意到币币兑换的滑点变高，Tether将资金列入黑名单，很明显更恶劣的事情正在发生。

黑客似乎早已预计币安将停止公链，所以争分夺秒的寻找流动性，将尽可能多的战利品转移到其他链。

慢雾追踪资金的动向。首先，攻击者向Venus抵押了90万BNB，借入了总计1.47亿美元的稳定币，然后用桥连接到Ethereum和L2、Fantom（现在占 TVL 的 10% 以上）、Avalanche和Polygon 。

下面慢雾的表格展示了黑客的持仓明细，包括冻结的USDT（总计约 650 万美元）。

BNB团队在黑客第二次转账后大约90分钟停止该链，黑客无法访问其BSC地址上剩余的约4.3亿美元。黑客的地址最初资金来自ChangeNOW交易所。

自事件发生以来，币安公关已进入止损模式。

正如官方更新指出“去中心化链设计的初衷是不应该被停止的”。但是BNB链只有“26 个活跃的验证节点”，BNB链是否一开始就有资格被归类为去中心化链？

BNB链真的可信地有过去中心化吗？

该更新还列出了一些后续步骤，包括决定是否冻结或烧掉被盗资金的治理投票，以及建立漏洞赏金和白帽赏金计划。

“社区验证者”的数量也将增加，以助于“进一步去中心化”（或是币安为了减少其责任？）。

对币安来说，赔付本次的损失是沧海一粟。

正如CZ明确指出的那样，他有的是钱：“目前的影响估计约为1亿美元，约为上一次BNB销毁的四分之一。”

然而，这位币安CEO也试图和此次攻击划清界限，他在推特上表示，“没有太参与BNB链的技术方面。远远低于Vitalik之于以太坊的参与度。” 他可能在试图说服任何寻找DeFi替罪羊的监管机构，让他们往别处地方看……

如果这次攻击让链可以暂停，为什么其他BSC攻击时候不停呢？既然很明显币安一直能控制一切，监管者又会如何看……

更重要的是，在如此频繁使用的链上按下暂停键，已经开创了一个危险的先例。 如果有一天我们真能在日常交易中大规模采用加密货币，那么当链停止可能导致生死一线时，这些行为怎么能证明是合理的呢？

但是，正如2019年的这段视频所示，CZ并不认为区块链的不可篡改性是神圣不可侵犯的。尽管在当年的黑客攻击中，他的方案最终未实施，但他确实有考虑回滚比特币网络，尽管会产生“深远的后果”和造成“破坏信任”的风险。

在今天之后，BNB在DeFi界还会有任何可信度吗？

就目前而言，这只是又一次跨链桥攻击，又一次rekt榜上有名。

REKT作为匿名作者的公共平台，我们对REKT上托管的观点或内容不承担任何责任。

捐赠 (ETH / ERC20): 0x3C5c2F4bCeC51a36494682f91Dbc6cA7c63B514C

声明:

REKT对我们网站上发布的或与我们的服务相关的任何内容不承担任何责任，无论是由我们网站的匿名作者，还是由 REKT发布或引起的。虽然我们为匿名作者的行为和发文设置规则，我们不控制也不对匿名作者在我们的网站或服务上发布、传输或分享的内容负责，也不对您在我们的网站或服务上可能遇到的任何冒犯性、不适当、淫秽、非法或其他令人反感的内容负责。REKT不对我们网站或服务的任何用户的线上或线下行为负责。