区块链网络安全事件再一次搅动整个币圈。
北京时间10月7日,由加密货币交易所币安孵化,全球最活跃的公链(公有链,指任何人可以读取、发送交易并能获得有效确认的共识区块链)之一的BNB Chain被黑客攻击,黑客利用跨链桥(可以帮助实现不同区块链之间的资产流动)漏洞分两次共获取 200 万枚 BNB,价值约 5.66 亿美元。除此之外,还有其它类型的虚拟资产被波及,目前已整理出链上未涉及跨链部分的被盗资产高达7.18亿美元,据区块链安全公司成都链安初步估算,加上跨链部分的被盗资产,此次黑客攻击事件涉及金额在8.5亿美元左右。
北京时间10月7日凌晨,黑客从BNB Chain的"代币中心"(TokenHub)系统合约分两次(2:26、4:43)共获取了200万枚BNB。
据成都链安安全团队对被盗资金的追踪分析,发现总计有1亿4357万美元的被盗资金通过跨链进行转移(含借贷)。被盗资金中有7739万美元的资金通过各种跨链转入了以太坊,5896万美元的资金留存在FTM链中(含各种gUSDT),400万美元的资金在Arbitrum链中,172万美元的资金在Avalanche链中,40万美元的资金在Polygon和110万美元在Optimism。
当日凌晨6时左右,BNB Chain社交平台的官方账号发布信息表示,由于活动异常,目前正在维护中,暂停所有通过BNB链的存取款,直到有进一步的更新。同时在另一条动态中表示,被提取资金约7000万至8000万美元,已冻结700万美元。
曾被称为"华人首富"的币安CEO赵长鹏在攻击事件发生后在社交媒体上称,在BNB Chain跨链桥"代币中心"上的一个漏洞导致了额外的BNB,已要求所有验证者暂时暂BNB Chain,这个问题现在得到了控制,资金是安全的,将相应地提供进一步的更新。
Paradigm研究员samczsun在社交媒体上发文表示,链上数据及相关代码显示,BSC跨链桥的验证方式存在BUG,该BUG可能允许攻击者伪造任意消息。本次攻击中,攻击者伪造信息通过了BSC跨链桥的验证,使跨链桥向攻击者地址发送了200万枚BNB。
据社媒账号CIAOfficer的独立分析师表示,此次黑客攻击共涉及7.18亿美元。该金额为史上最大链上攻击。另据成都链安安全团队的整理与追踪,目前整理出超过7.1亿美元是币安链上未涉及跨链部分的被盗资产,加上跨链部分的被盗资产,初步估计涉及金额在8.5亿左右。
当日下午3时左右,BNB Chain官方社交媒体账号发文称,BNB智能链(BSC)20多分钟前开始良好运行。验证者正在确认他们的状态,社区基础设施也在升级。
BNB Chain由全球最大的加密货币交易所币安孵化,由BNB Beacon Chain和BNB Smart Chain组成,其代币"BNB"是目前市值第五大加密货币。
受事件影响,当天BNB价格短时间内经历了一次下跌,价格由293.13美元下探至280.04美元,之后有所回调,截至发稿,BNB报281.23美元。
有分析人士对观察者网指出,这起黑客攻击事件与此前的多起大规模安全事故一样,问题出现在跨链桥上。由于跨链桥的技术复杂性,代码沉淀较多,容易出现隐蔽漏洞,再加上巨额沉淀资金,所以极易被黑客盯上。近两年跨链桥是遭遇黑客攻击的重灾区,这起事件再一次为跨链桥敲响了警钟,行业如何解决多链流通安全性仍待进一步考察。
根据Chainalysis 的数据,截至2022年,跨链桥黑客攻击事件占黑客攻击的69%,被盗的金额超过20亿美元。此前全球最火热的区块链游戏Axie Infinity侧链Ronin跨链桥遭黑客攻击,损失金额约6.2亿美元。跨链桥Polynetwork也因漏洞遭黑客窃取超6亿美元资产。
