BNB Chain 的跨链桥利用解释

Nansen 的研究团队深入研究了 BNB Chain 的跨链桥漏洞并追踪了攻击者的活动。

发生了什么？
2022 年 10 月 7 日，为币安币 (BNB) 生态系统提供支持的跨链桥遭到黑客攻击。币安链暂停 币安智能链（BSC）在确定漏洞被利用后，作为确认的 赵长鹏 (CZ)，币安首席执行官。所有 44 个验证者都被要求暂时中止 BSC 以遏制损失。

2022 年 10 月 6 日，攻击者通过两笔 100 万 BNB 的交易从 BSC：Token Hub 的地址非法发行了 200 万 BNB，价值约 5.66 亿美元。随着各方迅速采取行动，只有约 1.37 亿美元转移到了其他连锁店，其余的则冻结在 BSC 中。

它是怎么发生的？
2022 年 10 月 5 日，即攻击前一天，ChangeNOW 钱包向攻击者发送了 100 BNB，然后用于注册为 BSC 令牌中心的中继器。

BSC Token Hub充当保险库，促进BNB信标链（BEP2）和币安智能链（BEP20）之间的跨链交易。当外部拥有账户（EoA）或智能合约调用 BSC：跨链桥时，中继器负责在两个区块链之间提交跨链通信包。

通过注册为 BSC 跨链桥的中继器，攻击者的中继请求可以被 BSC 接受，从而允许攻击者通过 BSC Token Hub 验证证明的方式利用漏洞。

注册为 Relayer 后，攻击者在区块高度 110217401 上伪造了任意消息（而合法提款的区块高度要高得多）。这使得 200 万 BNB 在两笔交易中的创建和随后的提取成为可能：

1. 在 UTC 时间下午 6 点 26 分，攻击者成功将 100 万个 BNB 包裹发送到自己的地址。
2. 在 UTC 时间晚上 8 点 32 分到 8 点 42 分之间，攻击者继续进行 15 次失败的尝试，以将类似的包裹发送到自己的地址（交易失败，错误日志为“顺序不正确”）。
3. 最终在 UTC 时间晚上 8 点 43 分，攻击者成功地将最后一个 100 万个 BNB 包裹发送到自己的地址。
   

失去了什么，现状如何？
在之前的黑客攻击中，一旦成功，犯罪者会直接将金额转移到集中式交易所或 Tornado Cash 等混合服务。然而，在这种情况下，攻击者利用 BNB Chain 上流行的借贷协议 Venus，并以 90 万枚 BNB 作为抵押品，借入了 USDT、USDC 和 BUSD 等各种稳定币。
它是在五笔交易中完成的：

1. 在世界标准时间下午 6 点 30 分，即第一次黑客攻击发生 4 分钟后，发生了第一笔 60 万枚 BNB 的借贷交易，产生了价值超过 2.5 亿美元的 2750 万枚 vBNB 代币。
2. 在提供抵押品后的 2 分钟内，进行了两笔借款交易，第一笔金额为 6240 万 BUSD。
3. 第二笔借款交易5000万美元。
4. 在世界标准时间下午 6 点 36 分，发生了第二笔 30 万个 BNB 的借贷交易，产生了 1370 万个 vBNB（约合 1.29 亿美元）。
5. 在此之后，最终借入了近 3500 万美元的 USDC。

然后使用 Stargate Finance 和 Multichain 等桥梁将这些稳定币路由到多个 EVM 兼容链，每个链的增量为 40 万至 500 万美元。截至 2022 年 10 月 7 日，以下总额被桥接到各个链：

来源 ：南森 ,截至 2022 年 10 月 10 日

在每条链中，攻击者利用各种流动性提供者和借贷协议，例如 Curve Finance、Uniswap 和 Geist。这些行动包括提供抵押品以借用某些代币、稳定币之间的交换以及从稳定币到以太坊的跨资产交换。以下是攻击者与之交互的平台的详细列表以及美元和代币的总量：

来源 ：南森

来源 ：南森 , 截至 2022 年 10 月 10 日

在攻击者设法在这些链中桥接、交换、转移并提供抵押品后，消息在推特上传播开来。此后，在黑客入侵三小时后，BSC 宣布该链将因“异常活动”而暂停。这阻止了攻击者将更多资金转移到其他链上。目前，攻击者钱包中的余额如下：

来源 ：南森 , 截至 2022 年 10 月 10 日

使用 Nansen Portfolio，人们将能够跟踪攻击者进行的交互并验证多条链上的相应余额。

小号来源：南森投资组合

此外，根据我们的链数据和分析，以下地址值得注意和/或与攻击者有关：

来源：南森查询

ChangeNOW 发布了一个陈述 在黑客攻击之后，确认攻击者使用交易所来发送注册为 BSC 跨链桥中继器所需的初始资金。在使用其服务之前，该地址由其 AML 系统评估是否存在任何可疑或恶意活动，并且由于系统未在地址中发现任何危险信号，因此资金已成功发送到收件人地址。

作为一名经验丰富的黑客，攻击者使用了新的、干净的地址，如上表所示，在多个链中使用了不同的“燃烧器”地址。

使用 Nansen 的各种功能，例如 Portfolio、Wallet Profiler、Watchlist 和 Smart Alerts，您还可以监控这些地址中的资金动向。报名 今天免费。

黑客流程图
为了清楚起见，以下是从攻击者的地址进行的交易的详细流程图：

接下来是什么？
在撰写本报告时，BNB Chain 发布了一个官方漏洞响应 并正在编制一份详尽的验尸报告。他们还提议对以下内容进行链上治理投票：

1. 是否冻结被盗资金；
2. 是否使用 BNB Auto-Burn 来覆盖剩余的被盗资金；
3. 用于查找智能合约漏洞的白帽程序，每发现一个重大漏洞奖励 100 万美元；
4. 抓获黑客的赏金奖励计划，最高可达追回资金的 10%。

BNB Chain 的开发者于 2022 年 10 月 12 日宣布了一个临时紧急补丁，名为莫兰硬分叉 ，旨在恢复跨链基础设施。更改发生在主网上的区块高度 22,107,423，其中包括 IAVL 哈希检查漏洞修复、BSC 中的顺序区块头检查：跨链桥和中继器将被列入创世候选者的白名单。

一旦可以正确确定此次攻击的漏洞点，BNB Chain 还计划引入一种新的链上治理机制，以对抗和防御未来的攻击。

结论
BNB Cross-Chain Bridge 攻击扩展了过去两年的桥接攻击列表，并且是在精心策划和该领域的专业知识下执行的。

根据我们的链上分析，攻击者熟悉跨链中继器的工作原理并设法利用代码中的错误。由于存在风险，他们也没有立即将资金转移到交易所，而是在短时间内利用一系列复杂的 DeFi 产品转移资金，以避免被发现。

尽管 BSC 验证者迅速响应以停止该链并将损害降至最低，但仍有超过 1 亿美元转移到其他链，换成各种资产并转移到不同的燃烧器地址。 BNB Chain 团队的事后分析报告可能会提供对攻击技术性的更深入见解。

免责声明
此内容的作者和 Nansen 的成员可能正在参与或投资本文提及的某些协议或代币。上述声明作为对潜在利益冲突的披露，并不构成购买或投资任何代币或参与任何协议的建议。 Nansen 不推荐与任何代币或协议相关的任何特定行动方案。此处的内容仅用于教育和信息目的，不应作为财务、投资、法律、税务或任何其他专业或其他建议的依据。本文中的任何内容和信息均不会诱导或试图诱导任何读者或其他人购买、出售或持有任何代币或参与任何协议或订立或提议订立任何协议或与查看买卖任何代币或参与任何协议。此处所作的陈述（包括意见陈述，如果有的话）完全是通用的，并未考虑任何读者或任何其他人的个人需求和独特情况。强烈建议读者在做出买卖任何代币或参与任何协议的任何决定之前谨慎行事并考虑自己的个人需求和情况。南森可随时更改此处表达的意见和观点，恕不另行通知。对于因使用或依赖本内容的任何内容而产生的任何损失或责任，南森不承担任何责任。