Evo, kako je propadel večmilijonski vdor v verigo BNB: raziskovalec paradigme

Veriga BNB je bila začasno zaustavljena po izkoriščanju na njenem medverižnem mostu. Trenutna ocena vpliva je približno 100 milijonov dolarjev in 110 milijonov dolarjev v ekvivalentu kriptovalute.

Glede na najnovejšo posodobitev je veriga BNB ponovno začela delovati kot običajno, vendar si poglejmo, kako je prišlo do vdora, pravi priljubljeni raziskovalec.

Izkoriščanje

Raziskovalec paradigem Sam Sun navedla da je napadalec nekako prepričal Binance Bridge, da pošlje 1 milijon BNB na naslov, ki ga nadzorujejo. Korak so ponovili dvakrat. Po primerjavi napadalčevih transakcij z zakonitimi dvigi je Sun opazil, da je bila višina, ki jo je uporabil napadalec, vedno enaka – 110217401. Vendar pa so bile višine, uporabljene pri zakonitih dvigih, veliko večje, na primer 270822321, je poudaril raziskovalec.

Nadalje je opozoril, da je bil napadalčev dokaz bistveno krajši od dokaza zakonitega umika, kar pomeni, da so našli način, kako "ponarediti dokaz" za ta določen blok – 110217401.

Binance ima posebno pogodbo o vnaprejšnjem prevajanju, ki se uporablja za preverjanje dreves IAVL. Ko uporabnik preveri drevo IAVL, mora podati seznam »operacij«. Binance Bridge običajno pričakuje dve izmed njih: operacijo »iavl:v« in operacijo »multistore«, je določil Sun. Napadalec je uspel izkoristiti hrošč v Binance Bridge, ki je preveril dokaze, ki napadalcem omogočajo ponarejanje poljubnih sporočil.,

Medtem ko je napadalec ponaredil le dve sporočili, je raziskovalec trdil, da bi lahko bila škoda veliko hujša.

Ista dilema

Direktor podjetja Binance Changpeng Zhao potrjena izkoriščanje, potem ko so bili validatorji pozvani, naj začasno prekinejo BSC in so razkrili, da je bila težava omejena.

»Prve ocene sredstev, odvzetih od BSC, so med 100 in 110 milijoni USD. Vendar pa je po zaslugi skupnosti ter naših notranjih in zunanjih varnostnih partnerjev ocenjenih 7 milijonov USD že zamrznjenih. Ponižani smo nad hitrostjo in sodelovanjem skupnosti pri zamrznitvi sredstev.«

Najnovejše izkoriščanje BNB Chain in nadaljnji koraki, ki jih je sprejel Binance, so morda nadzorovali škodo, vendar se skupnost ponovno sooča z isto dilemo glede decentralizacije. Bartek Kiepuszewski, arhitekt verige blokov MakerDAO, je izrazil podobno mnenje v svoji tweet glede istega,

"Ali želimo preprost most, vendar z zaupanja vrednimi validatorji, ki lahko cenzurirajo, zamrznejo ali zasežejo sredstva, ali želimo nezaupljivo, a bistveno bolj zapleteno infrastrukturo?"