国庆假期即将结束之际,BNB Chain跨链桥BSC Token Hub遭受黑客攻击的消息引起整个加密社区的震动,攻击者利用币安跨链桥BSC Token Hub的漏洞获取了200万枚BNB,价值约5.74亿美元,据SAFEIS数据显示,整个攻击事件涉及总金额超过8.1亿美元,不论从哪个数据维度来看,此次事件都可谓是史上最严重的跨链桥被攻击事件之一。
本次攻击事件深度剖析
10月6日,攻击者使用ChangeNOW服务将起始攻击资金(约101枚BNB)转入钱包0x489…79BEc 的BSC链上,随后攻击者于区块高度 21955968通过调用系统RelayerHub合约0x1006缴纳100BNB注册成为 Relayer,然后对系统CrossChain合约0x2000发起攻击。
起始攻击资金
北京时间10月7日2:26和4:43,攻击者利用币安跨链桥BSC Token Hub的漏洞分2次共获取了200万枚BNB,每次获取100万枚BNB,并将非法获取的200万枚BNB转入钱包0x489…79BEc。
非法获取的第一笔100万BNB非法获取的第二笔100万BNB
从北京时间10月7日2:30开始,短短约7分钟的时间,攻击者将90万枚BNB抵押到加密借贷平台Venus,获得约4100万枚vBNB,并从该平台贷出6250万枚BUSD、5000万枚USDT和3500万枚USDC。
抵押90万枚BNB到Venus贷出稳定币
在Venus平台贷出加密货币的同时,攻击者就开始将贷出的稳定币通过Stargate Finance等加密跨链平台陆续转移到ETH、Fantom和AVAX等网络,SAFEIS数据显示,截止发稿前,共有超过1亿美元的稳定币被转移到BSC以外的网络,其中转移到ETH网络约5300万美元、Fantom网络4900万美元、Arbitrum网络200万美元、AVAX网络约170万美元,Optimism网络约110万美元。
目前,留存在BSC链的资金总计约7.09亿美元(含借贷部分),包括102万枚BNB(价值约2.87亿美元)、约4100万枚vBNB(价值约3.9亿美元)、约2880万枚BUSD和约278万枚USDT。
此外, Tether已将攻击者盗取多笔加密资产列入黑名单,包括黑客转移至以太坊上的480万USDT、转移至Arbitrum上的200万枚 USDT、转移至AVAX上的170万USDT 。
10 月 8 日,黑客地址转移约3.4万枚ETH(约合4500万美元)至钱包0xfa0…d14e9。
转移资金到钱包0xfa0…d14e9
跨链桥频繁被攻击
跨链桥又双叒叕被黑了!这已经成为加密社区的一种调侃之词,但背后反映出的安全问题值得深思和关注。
SAFEIS数据显示,2021年整个去中心化金融 (DeFi) 生态系统被盗超过 30 亿美元,其中超过67%的被盗事件指向跨链桥,加密史上十大跨链桥被黑事件均发生于2021年(占比30%)和2022年(占比70%),而在加密史上跨链桥被黑事件前五名中80%发生于2022年,安全形势不容乐观,跨链桥被黑事件愈演愈烈。
跨链桥缘何频繁发生安全事件
跨链桥之所以频繁被黑客攻击,一方面是因为跨链桥对黑客来说是一个极其有吸引力的目标,主流跨链桥项目储存着巨量加密资产;另一方面,是因为多链跨链的技术复杂性增加了故障和漏洞出现的可能性,安全问题主要来源于以下三点:后端漏洞、多重签名和智能合约漏洞/执行错误。
在所有的跨链桥安全事件中,最常见的类型是通过智能合约漏洞发动攻击,PolyNetwork、Multichain、Qbridge、Wormhole、Nomad和BSC Token Hub等跨链项目被黑原因皆是如此。
如何应对
2021年,Solana、AVAX等一众新锐公链的崛起,助推DeFi之夏走向顶峰,2022年,Aptos、Sui等一众公链中的新起之秀吸引了诸多加密机构和用户的关注,这将让加密生态系统更为庞大,也将使加密生态演变为一个更为多样的多链世界,而跨链桥将在其中起着至关重要的作用。
随着黑客更加窥伺跨链桥项目,且跨链桥项目本身潜在的诸多安全隐患,跨链桥需要在在设计时就将安全性摆到更高的位置,而更高程度的去中心化、更可靠的服务提供商和更严谨的开发人员是极为有效的解决方案,此外,实施更强大的安全措施、更有吸引力的查找漏洞赏金计划和更为严苛专业的系统审计,都能有效确保桥上资金的安全。
对于加密用户而言,选择主流安全性较高的跨链桥、及时关闭高风险项目授权且在钱包授权时保持更加谨慎态度十分必要。