点击蓝字
关注我们
2022年10月7日凌晨,币安的BNB Chain遭遇了一场震惊加密世界的“超级大劫案”——黑客偷走了价值超7亿美元的资产!
黑客利用跨链桥的漏洞,卷走200万枚BNB,堪称Web3史上最大攻击。
事件回顾
想象一下,黑客就像一个狡猾的窃贼,提前踩点、精心布局。以下是事件的时间线:
10月6日:黑客通过ChangeNOW平台(一个类似“数字货币兑换机”的服务)悄悄转入100多枚BNB到钱包地址0x489...79BEc,就像给作案工具箱充了点“小钱”。
10月7日00:55:黑客在BNB Chain的“后台系统”注册为Relayer(一种跨链操作员),只需花100 BNB,就像买了张“犯罪通行证”。
2:26-4:43:黑客动手了!两次攻击币安跨链桥BSC Token Hub,偷走200万枚BNB(约5.7亿美元),直接转到自己的钱包。
2:30起:黑客把偷来的90万枚BNB抵押在Venus平台(类似链上银行),借出1.475亿的稳定币(6250万BUSD、5000万USDT、3500万USDC),等于用偷来的钱又“贷款”了一大笔!
5:48:Tether(稳定币发行方)反应迅速,把黑客的地址拉黑,冻结了以太坊上的480万USDT、Arbitrum上的200万USDT和Avalanche上的172万USDT。
9:00:黑客试图“洗钱”,通过Stargate和Multichain跨链桥把1.1亿美元转移到以太坊(5335万)和Fantom(4880万),但BNB Chain上还有4.3亿美元因网络暂停没跑掉。
11:30:黑客钱包里还有102万枚BNB、4128万vBNB、2881万BUSD、277万USDT,总值超7亿美元,创下链上攻击金额纪录。
13:02:BNB Chain紧急发布新版本BSC v1.1.15,切断跨链通道,堵住黑客的“逃跑路线”。
14:53:BNB Chain恢复正常,存取款服务重启,币安松了一口气。
攻击说明
跨链桥就像区块链世界的“快递员”,负责在不同链之间传递资产。但这次,币安的跨链桥BSC Token Hub出了大问题。安全专家samczsun揭秘,黑客利用了一个“验证漏洞”:
黑客挑了个“老区块”(110217401)的哈希值当“钥匙”。
伪造一个“假包裹”(攻击载荷),塞进IAVL树(一种数据验证工具)。
再加个“空壳”节点,假装一切正常。
调整假数据,让它看起来跟真的一样,骗过系统验证。
最后伪造“提款证明”,直接从跨链桥提走200万枚BNB。
Beosin安全团队表示,这个漏洞就像银行ATM忘了检查身份证,黑客用假身份卡就能取钱。根源在于跨链桥的验证逻辑太简单,Relayer注册又太容易(100 BNB就能上车),让黑客钻了空子。
防范建议
用户层面
分散资产:避免单一链或平台集中存放大额资产。
警惕钓鱼:不点击未知来源邮件,使用硬件钱包保护私钥。
实时监控:定期检查钱包记录,启用链上安全工具(如欧科云链链上卫士)。
平台层面
强化验证:采用多重签名和动态校验,杜绝单一漏洞风险。
权限管理:提高Relayer注册门槛,限制高危操作权限。
实时风控:部署AI系统,检测异常交易,缩短响应时间。
结语
7亿美元的超级盗窃案让BNB Chain和整个Web3世界捏了把汗。跨链桥本是连接区块链的“高速路”,却成了黑客的“提款机”。
币安的快速补救让人稍感安慰,但这波攻击提醒我们:Web3的自由与机会背后,安全永远是命根子。普通用户得擦亮眼,平台得加固墙,监管也得跟上节奏。
👇👇👇
小助理微信号
我们提供以下专业服务:
钱包安全体检:检测你的钱包是否存在授权风险。
加密资产追踪:已经被盗,可提供链上分析报告,帮你追踪资产流向。
防骗法律咨询:遭遇诈骗,可联系我们获得专业建议。