今(7日)凌晨 BNB Chain 遭駭客竊取約 1 億美元,官方發布節點更新檔案,表示驗證節點營運者共同努力,在下午 1 時 31 分讓 BNB Chain 重啟出塊。
(前情提要:BNB Chain駭客已轉移近1億鎂至Fantom、以太坊!CZ:用戶資產是安全的 )
(背景補充:重磅!BNB Chain 跨鏈橋遭駭或損7.18億美元,幣安BSC全鏈已暫停 )
再更新》今(7日)台灣時間下午 1 時 31 分時,BNB Chain 重新啟動進行出塊恢復正常運作,總計停機時間為 8 小時 42 分鐘。
更新:BNB Chain 已發布節點升級檔案 v1.1.15,功能包含將攻擊者的地址封鎖,並且暫時將 Binance Beacon Chain 和 Binance Smart Chain 的原生跨鏈關閉。官方並感謝全部節點驗證者,並稱共同努力在 1 小時內讓 BNB Chain 重新啟動。
Update📢 BSC validators are coordinating to bring back BNB Smart Chain (BSC) in an hour with the latest release https://t.co/d2gIsRlGDC
It includes:
1.Stopping hacker accounts from acting1/2
— BNB Chain (@BNBCHAIN) October 7, 2022
今晨(7日)由加密貨幣交易所幣安部署的 BNB Chain 驚傳跨鏈橋(BSC Token Hub)遭駭客盜取事件,社群一度估計被盜金額高達 7.18 億美元,幣安創辦人趙長鵬( CZ )則出面表示遭竊金額約在 1 億美元左右;最新消息則是,BNB Chain 官方宣布在短時間內需進行節點升級,要求節點驗證者與官方連絡:
我們請求 BSC 驗證者在接下來數小時內與我們聯繫,以便我們計畫節點升級。我們想對整個社群的持續協助致謝。
而 CZ 面對大批網友詢問何時 BNB Chain 才會重啟出塊,他在個人 Twitter 回應:
(節點升級和重開機)目前還沒有預定時間,讓我們給開發人員多點時間去了解問題根源、填補漏洞並進行深度測試,然後再重開機。現在先別催他們吧,感謝你們的理解和支持。
No ETA yet. Let's give the devs time to fully understand the root cause, implement the fixes, test them thoroughly, and then resume. Let's not rush it now. Thank you for your understanding, patience, and support. 🙏 https://t.co/e6CsSrTps0
— CZ 🔶 Binance (@cz_binance) October 7, 2022
面對長期投資 $BNB 的加密投資網紅 @frxresearch 詢問「你做了什麼?別閃躲,CZ」,CZ 也坦承跨鏈橋遭駭當時,他人正在睡覺:
完全攤開來說,當時我人在睡覺(對,我會睡覺)。我醒來的時候是凌晨 3 點,那時候全部節點驗證者都已經暫停了,我只是起來發 Twitter ,全部的工作都是社群和開發人員做完的🙏
Full transparency, I was asleep (yes, I sleep). By the time I was woken up at 3AM, the community of validators had already paused. I just did the tweeting. The community & team did all the work. 🙏 https://t.co/m4PQ3tMIZB
— CZ 🔶 Binance (@cz_binance) October 7, 2022
Paradigm 研究員:BSC 跨鏈橋存在Bug
BNB Chain 遭駭 4 個小時後,Paradigm 研究員 @samczsun 也在個人 Twitter 試圖重現攻擊者是如何透過漏洞盜取資金的,他嚴重質疑攻擊者是偽造了提款證明的 hash 值訊息,並通過了跨鏈橋的驗證機制,讓跨鏈橋對攻擊者發送了 200 萬顆 BNB:
總結來說,幣安跨鏈橋存有證明機制的漏洞,讓攻擊者傳送偽造的隨意訊息,幸運的事,這名攻擊者僅偽造了兩則訊息,不然資金損失將會比目前還嚴重。
In summary, there was a bug in the way that the Binance Bridge verified proofs which could have allowed attackers to forge arbitrary messages. Fortunately, the attacker here only forged two messages, but the damage could have been far worse
— samczsun (@samczsun) October 7, 2022
📍相關報導📍
BNB Chain駭客已轉移近1億鎂至Fantom、以太坊!CZ:用戶資產是安全的
囂張嗆可盜更多!Transit駭客欲留1萬枚BNB作賞金,官方求再還多點
巨型造市商Wintermute遭駭1.6億美元!駭客持近 7,000ETH 成3Crv第3大鯨魚
