币安因“跨链桥”漏洞被黑客攻击,创始人赵长鹏称受影响金额约为1亿美元。
当地时间10月7日,币安(Binance)官网发布公告称,对于本次发生的漏洞进行道歉,并承认BNB信标链和BNB智能链(即BSC链)之间的“跨链桥”(BSC Token Hub)存在一个漏洞。币安表示,总共有200万枚BNB代币被撤回。
此次黑客攻击的“跨链桥”,可以使数字资产和信息在独立的区块链之间进行转移。据外媒报道,黑客成功利用前述漏洞“制造”出200万枚BNB代币,当时总价值5.69亿美元。换句话说,这些钱实际上并非从币安偷盗而来,而是由于其加密货币的安全漏洞而被凭空捏造出的。一位币安公司发言人也向CNN Business证实,确有与币安相关的区块链受到了涉及5.7亿美元价值的黑客攻击。
“跨链桥BSC Token Hub在进行跨链交易验证时,使用了一个特殊的预编译合约用于验证IAVL树。而该实现方式存在漏洞,该漏洞可能允许攻击者伪造任意消息。”中国移动通信联合会元宇宙产业委员会执行主任、中国通信工业协会区块链专委会共同主席于佳宁向澎湃新闻(www.thepaper.cn)分析道,“在一系列操作下,黑客从BNB Chain Token Hub系统合约分两次共获取了200万枚BNB,其实相当于凭空铸造了200万枚BNB。”
同日,赵长鹏发布推特称,在“跨链桥”上的漏洞导致了额外的BNB代币生成,公司已经请求全部验证者来暂停BNB智能链上的交易,并将提供进一步更新。
赵长鹏还表示,此次黑客攻击受到影响的金额约1亿美元左右,大约是上次BNB销毁的四分之一规模。他还抨击多家外媒使用错误标题进行报道,标题包含的内容分别有:“加密货币交易所币安蒙受了5.7亿美元的黑客攻击损失”、“价值1亿美元的BNB代币被偷走”、“币安面临着史上第二大加密货币黑客攻击”。
币安在公告中表示,去中心化的区块链不是为了被阻止而设计的,但通过一个一个联系社区验证者,能够阻止黑客攻击事件的蔓延。BNB智能链目前共有44个验证者分布在不同时区,其中活跃的验证者有26个。
于佳宁表示,在攻击过后,黑客将200万枚BNB中的90万枚在BNB Chain上借贷协议Venus进行抵押,借出6250万BUSD、5000万USDT、3500万USDC。他还提及“这一漏洞已在10月7日进行修复,币安链已发布BSCv1.1.15版本,通过黑名单与暂停相关功能的方式阻止被盗资金流动与潜在的攻击,节点运营者也基本上都升级为新版本。”
公告显示,为了BNB社区的共同利益,币安将进行链上治理投票,以决定是否进行以下四项行动。其包括:一,如何处理被黑的资金,冻结还是不冻结?二,是否使用BNB自动销毁机制来覆盖剩余的被黑资金?三,利用一个Whitehat程序,用于将来发现bug,并且每发现一个重要bug,就奖励100万美元。四,提供抓捕黑客的赏金,其最高可达追回资金的10%。
币安还表示,BNB智能链验证者投票功能将在未来几天通过BNB信标链升级开启。
一位虚拟货币观察人士向澎湃新闻(www.thepaper.cn)分析道,“BNB是有定期销毁的,以前是币安每个季度拿出20%的利润进行销毁。在去年改成根据BNB链上交易的活跃程度销毁。”该观察人士认为,这次的主要影响就是黑客利用“跨链桥”漏洞,多生成了将近200万个BNB代币。“现在还没完全解决,需要验证节点投票。但大概率可能的解决方案就是回滚交易,也就是把交易回滚到黑客攻击前。”
于佳宁则认为,目前来看,本次黑客事件的后续影响暂时告一段落,但是其衍生对于BNB Chain安全性的质疑和中心化的操作才是后续更深远的影响。“BNB Chain作为币安上孵化的最大公链,如果接连出现安全问题,那么市场对于其发展的信心会被大大削弱。只有吸取每一次安全事件的经验和教训,进行优化升级和迭代。同时建立系统级的安全体系,从整体上提升区块链的安全性才能使其区块链网络走向成熟和稳定。BTC区块链和以太坊区块链在早期发展阶段,也出现过各种各样的安全问题,甚至一度整个链上网络的安全受到严重威胁,但是随着不断地升级迭代、安全升级,区块链网络才逐渐成熟。”
“区块链并不是完全不可以篡改的,只要大部分验证节点都同意交易回滚,就可以更改记录。”前述虚拟货币观察人士说道,“而这也是BNB智能链饱受质疑的一点,也就是验证节点太少,而大部分验证节点又是由币安控制。所以,从某种方面来说,BNB智能链属于币安控制的一条链,不够去中心化。”