要闻 宏观 金融 证券 产业 公益财经 地产 能源 健康 汽车 评论 人道慈善

https://uploads.chinatimes.net.cn/article/202210/20221008143123EdGZh5kKh3.png

黑客攻击!币安链200万枚BNB被盗,损失超7亿元

卢梦雪 冉学东 2022-10-8 18:55:27

本报记者 卢梦雪 冉学东 北京报道

币圈再现黑客攻击,本次事件主角为智能合约平台币安链(BNB Chain)。

北京时间10月7日凌晨,智能合约平台币安链(BNB Chain)遭遇黑客攻击,短短2小时,200万枚币安币被洗劫一空。随后,币安首席执行官赵长鹏在社交平台表示,目前受损金额估计为1亿美元(约合人民币7.1亿元)。

“今天的事件是BNB Chain在去中心化道路上经受的一次挑战。”10月8日,BNB Chain社区对《华夏时报》记者回应称,“跨链桥的技术发展正处于早期阶段,我们相信,只有发现问题才能解决问题。”尽管如此,BNB Chain社区同时表示,BNB Chain会继续在去中心化的道路上往前发展,包括继续增加更多验证节点。

200万枚BNB被盗

“这个问题目前已经得到控制,客户的资金是安全的。对于给投资者带来的不便,我们深表歉意,未来将提供进一步的系统更新。”攻击事件发生后,币安首席执行官赵长鹏在社交平台表示。

据媒体报道,10月7日凌晨,BNB Chain遭遇了黑客攻击,200万枚币安币被洗劫一空。对此,BNB Chain在社交平台表示,由于活动异常,目前正在维护中,暂时暂停所有通过BNB Chain的存取交易,直到有进一步的更新。

“BSC验证者正在协调在一个小时内启用最新版本,一是阻止黑客帐户之间采取行动,二是BNB Beacon Chain和BNB Smart Chain之间的原生跨链通信被禁用。”10月8日,BNB Chain社区回应《华夏时报》记者时表示,同时,他们正要求所有节点运行者尝试升级到上述最新版本,“验证者和社区也将讨论进一步升级以彻底解决这种情况”。

据BNB Chain社区介绍,该事件源于黑客对跨链桥BSC Token Hub的攻击,导致增发了更多的BNB,黑客从BSC提取的资金初步估计在7000万美元到8000万美元之间,“我们已要求所有验证者暂停运营BSC,同时通过BNB社区和多家安全合作伙伴的共同努力,估计有700万美元已经被冻结。”

“之所以客户的资金是安全的,一方面是因为链停掉了,然后把增发的币删除了;另一方面,流出去的资金已经被锁定了,无法交易,所以实际上属于无效攻击,对市场的影响有限。”一位区块链技术安全人员向《华夏时报》记者分析称。

据悉,BNB Chain原名BSC(币安智能链)。BSC公链早期冠名Binance Smart Chain,币安曾参与币安链和币安智能链BSC,前者在2019年4月上线,曾主要开设去中心化交易所Binance Dex;后者在2020年9月上线,支持智能合约编写功能。2022年2月,币安发布消息,原币安智能链(BSC)将更名为BNB Chain。同时,BNB是币安交易所的平台币,以及币安智能链的生态代币。截至发稿,BNB价格约281美元。

黑客攻击事件频发

DeFi是黑客攻击事件的高发领域。

根据Chainalysis发布的报告,2021年,攻击者从投资者那里窃取了总计32亿美元的加密货币。The Block·Research统计显示,2020年也有15起针对DeFi平台的黑客攻击事件,被盗资金高达1.2亿美元,仅有4560万美元被追回。

今年3月份,知名区块链游戏Axie Infinity的以太坊侧链Ronin Network遭遇黑客攻击,造成了约6.25亿美元(17.36万枚以太坊和2550万USDC)的损失,堪称有史以来最大的一次DeFi黑客攻击。

自2020年以来,DeFi项目获得了高速发展,而同时,其也因安全问题频频引起关注。币安研究院高级分析师江金泽在接受《华夏时报》记者采访时认为,DeFi项目常见的安全问题主要有7种,包括机制缺陷;代码逻辑漏洞;第三方代码库/服务漏洞(包括通信安全);私钥泄露,或被钓鱼攻击;内部风控不足;项目方主观作恶捐款跑路;市场参与者导致的安全影响(如科学家抢跑、三明治攻击、闪电贷攻击等)。

DeFi项目之所以频频被黑客盯上,Muse Labs理事长、宋双杰博士在接受《华夏时报》记者采访时分析,一方面,DeFi项目往往涉及金额比较高,攻击的潜在收益高;另一方面,DeFi协议脆弱,DeFi协议几乎全部围绕着金融构建,发展一两年以来,交易、借贷等DeFi协议相互嵌套,无限放大风险,同时,DeFi还与NFT、Metaverse等链上产品交织,整个生态的复杂度急剧上升,使得把握体系内外蕴含的风险难度极高;此外,由于DeFi匿名性、开放性的特点,经常不进行准入审核,使得黑客的身份很难识别,这就使得对黑客的诱惑大,攻击成本低。

“而且DeFi几乎没有‘监管’。即使通过技术锁定了匿名攻击者的真实身份,当下也很难对攻击者给予任何惩罚,所以黑客攻击的成本过低,即使攻击被发现,也几乎没有什么损失。更可怕的是,一些国家,系统性的组建了自己的黑客团队,成规模、长周期的攻击DeFi协议。”宋双杰表示。

随着DeFi项目的发展,相比早期的区块链应用,DeFi项目的复杂度大幅度提升,江金泽认为,随着DeFi更深入地发展,这个复杂度还会进一步提升,而软件出现漏洞的概率与复杂度的平方成正比。

“项目自身设计存在的缺陷是很难完全被消除的,合约漏洞引起的攻击是大额安全事件的主要来源。尤其是智能合约权限过大和追求效率之间存在矛盾,很难两全齐美。”江金泽分析称,以币安链这次的安全事件来看,问题就是跨链桥这个App可以自行根据在一条链上接受到的存款在另外一条链放款,如果为了安全增加大额人工审核或者延时释放那势必会影响效率。

但同时应该看到,江金泽指出,有些权限漏洞的初衷也是为了保护用户,比如赋予项目方权限,使其发现了问题可以自主改动合约做相关治理及风险应急,“这样的权限如果移除了,也不一定更好。”

责任编辑:孟俊莲 主编:张志伟