Ključni zahvati
- BNB lanac pretrpio je eksploataciju od 566 milijuna dolara u četvrtak nakon što je haker prevario most BSC Token Hub da im pošalje dva milijuna BNB-a.
- Haker je uzeo nov pristup za izvlačenje sredstava preko drugih mreža, pobjegavši s oko 110 milijuna dolara.
- BNB lanac zaustavio je mrežu i razmišlja o zamrzavanju imovine, ističući glavne probleme centralizacije.
Podijelite ovaj članak
Tim BNB lanca privremeno je zaustavio mrežu kao odgovor na napad, što dovoljno govori o problemima centralizacije mreže.
BNB lanac ciljano
Sinoćnji hak s devet znamenki na mostu BNB Chaina izazvao je veliku pometnju u zajednici kriptovaluta.
Napadač je kasno u četvrtak napao blockchain mrežu kojom upravlja Binance, uspješno pobjegavši s kriptovalutom vrijednom oko 110 milijuna dolara. Ali iako je 110 milijuna dolara po svemu sudeći prilično uredna plaća za nekoliko sati rada, to je samo djelić ukupne veličine podviga. Podaci u lancu pokazuju da je napadač započeo razrađeno hakiranje tako što je prevario BSC Token Hub most BNB Chaina da im pošalje dva milijuna BNB tokena u vrijednosti od oko 566 milijuna dolara. Prema istraživaču Paradigme samczsun, napadač je upotrijebio složeni proces u više koraka da iskoristi grešku u mostu, učinkovito krivotvoreći kod mosta kako bi mogao izvršiti dva odvojena povlačenja po milijun BNB-a. Most je poslao sredstva i nastavio normalno raditi sve dok više članova zajednice nije posumnjalo u veličinu povlačenja. BNB lanac je odgovorio zaustavljanjem blockchaina.
Otkrivene greške na mostu
Incident je privukao pozornost kripto prostora dijelom zbog razmjera iskorištavanja. Iako je zarada hakera trenutno oko 110 milijuna dolara, dva milijuna BNB-ove krađe smješta ovaj incident u rang s drugim velikim napadima poput hakiranja 552 milijuna dolara na most Ronin tvrtke Axie Infinity u ožujku. Još jednom, eksploatacija BNB lanca oglasila je uzbunu zbog sigurnosnih rizika međulančanih mostova. Kako se kriptovaluta razvijala i uz Ethereum su se pojavile razne Layer 1 mreže (sam BNB Chain je u biti klon Ethereuma), potražnja za međulančanom interoperabilnošću je porasla. To je stvorilo priliku za mostove poput proizvoda lanca BNB da zadovolje potrebe tržišta. Po Podaci o Defi Llamiukupna vrijednost zaključana u kriptomostovima danas je preko 10 milijardi dolara, čemu pomažu BNB lanac i druge mreže koje su postale sve popularnije 2021.
Iako su mostovi korisni za povezivanje lanaca blokova, općenito se smatraju manje sigurnima od mreža osnovnog sloja poput Bitcoina i Ethereuma jer često koriste središnju točku pohrane za zaključavanje pohranjene imovine. To je dovelo do porasta hakiranja; izvješće Chainalysis iz kolovoza otkrili su da hakiranje mostova čini 69% svih krađa kriptovalute, a zarada premašuje 2 milijarde dolara do danas.
Iako bridge hakeri obično imaju različite metode za krađu sredstava, oni obično mogu izvršiti svoje napade iskorištavanjem lošeg koda. Hak BNB Chaina nije bio drugačiji; napadač je pronašao način krivotvoriti dokaz kako bi mogli izvršiti dva lažna isplata. Brzo su usmjerili sredstva na različite lokacije, što znači da je značajan dio ukradenih sredstava već bio u pokretu kada je tim BNB lanca odlučio zaustaviti mrežu.
Praćenje napadača
Možda najzanimljiviji element hakiranja bila je aktivnost napadača nakon samog exploita. S obzirom na veličinu uvlačenja, haker se suočio s ograničenjima u svojim mogućnostima pranja sredstava—jednostavno zato što veći potovi poput ovog imaju tendenciju privući više pozornosti kriptovaluta, istražitelja u lancu i vlasti. Podaci u lancu pokazuje da je haker prebacio njihova sredstva na više lokacija, ali su zauzeli nov pristup koji se razlikuje od većine sličnih krađa.
Kao što je Ministarstvo financija primijetilo kada je zabranilo Tornado Cash u kolovozu, hakeri se često okreću kripto mikserima kako bi izvukli ukradena sredstva. Iako je haker mogao povući sličan potez kako bi prikrio svoje tragove, oni su umjesto toga odlučili položiti depozit nešto manje od polovice uplata u Venus Protocol, kreditni proizvod na BNB lancu. To je možda zato što bi se borili da razmijene sve svoje BNB tokene bez utjecaja na cijenu; Tornado Cash prima depozite ETH, DAI, cDAI, USDC i USDTšto znači da bi morali trgovati svojom imovinom i prijeći na Ethereum kako bi ga koristili.
Davanjem BNB-a kao kolaterala na Venus, haker je uspio posuditi oko 150 milijuna dolara u stabilcoinima. Ovo je zanimljiva igra jer su posudili USDT, USDC i BUSD—centralizirane stabilne kovanice koje njihovi izdavatelji mogu zamrznuti. Tether je stavio na crnu listu najmanje 6,5 milijuna dolara izvlačenja, blokirajući hakera da unovči USDT koji je posudio. Haker je upotrijebio nekoliko strategija za raspoređivanje svojih sredstava na drugim mrežama, pretvarajući velik dio prihoda u ETH.
Sigurnosna tvrtka za blockchain SlowMist procjene da se haker pomaknuo oko 110 milijuna dolara od BNB Chaina do šest drugih mreža kompatibilnih s Ethereumom: Ethereum, Polygon, Fantom, Avalanche, Arbitrum i Optimism. Međutim, većina prenesenih sredstava još nije oprana, a haker je otišao većina uzimanja na BNB lancu. Za tako sofisticiran napad, ostavili su golemu svotu novca na stolu s obzirom na to da bi ukradeni BNB mogao biti zamrznut.
BNB je pretrpjela udarac nakon incidenta i danas je pala za oko 3,5%. Osim BNB-a, hakerova najveća pozicija je ETH—trenutačno imaju više od 32,5 milijuna dolara ovaj novčanik.
BNB lanac odgovara
Tim BNB Chaina reagirao je na incident dok je priča o napadu kružila Crypto Twitterom. Službeni Twitter račun blockchaina potvrđeno u 22:19 UTC da je pauzirao mrežu, uz napomenu da je identificirao “potencijalno iskorištavanje”. Neki su zapljeskali timu na odgovoru, s izvršnim direktorom Binancea Changpengom “CZ” Zhaom izreka da je bio “impresioniran brzim akcijama [team] uzeo.” Međutim, odluka o zaustavljanju lanca također je potaknula mnoge da prozovu centralizirani dizajn blockchaina. “Trebao bi biti nepromjenjiv fren,” cvrkutao projekt Bitcoin DeFi Stacks. Drugi objavio meme iz CZ-a da implicira da je imao potpuni nadzor nad validatorima mreže.
Nepromjenjivost se smatra ključnom značajkom blockchaina i tehnologije kriptovalute, ali kontrolirana zaustavljanja mreže otkrivaju probleme centralizacije koji tu ideju bacaju u more. Kada se blockchain može pauzirati, to nije nepromjenjivo. Najveći blockchain, Bitcoin, nikada nije zaustavljen otkako je pokrenut 2009. Bitcoin ima više od 10.000 potpunih validator čvorova diljem svijeta, dok Ethereum ima nešto više od 8.000. Kao i BNB lanac, Ethereum upravlja mehanizmom Proof-of-Stake s preko 400.000 validatora koji osiguravaju mrežu. BNB lanac se u međuvremenu oslanja na samo 44 (od tih 44, 26 je trenutno aktivno). U Izjavatim BNB Chaina rekao je da “decentralizirani lanci nisu dizajnirani da budu zaustavljeni”, dodajući da je kontaktiranje 26 aktivnih validatora mreže spriječilo daljnju štetu.
BNB lanac uspješno je ponovno pokrenuo mrežu nakon sinkronizacije validatora rano u petak, i mreža sada radi normalno s hakerskim novčanikom na crnoj listi. Ostaju pitanja o tome što će se dogoditi s BNB-om i centraliziranim stabilnim kovanicama na BNB lancu, koji se trenutno procjenjuju na više od 426 milijuna dolara (haker još uvijek ima BNB vrijedne 254 milijuna dolara kolateralizirane protiv 147 milijuna dolara vrijednih stabilnih kovanica na Veneri). Zbog razmjera napada, vjerojatno će se uskoro uključiti i vlasti.
U izjavi lanca BNB-a stoji da će zajednica odlučiti hoće li zamrznuti hakirana sredstva “za opće dobro BNB-a”, a također nudi i nagradu od 10% vraćenih sredstava za otkrivanje hakera. Lanac BNB je u svojoj bilješci preuzeo odgovornost za incident. “Želimo se ispričati zajednici zbog iskorištavanja koje se dogodilo. Mi posjedujemo ovo”, stajalo je u poruci.
Otkrivanje: U vrijeme pisanja, autor ovog članka posjedovao je ETH, USDT, MATIC i nekoliko drugih kriptovaluta.
Podijelite ovaj članak