Der Angreifer nutzte eine in der BSC-Bridge entdeckte Schwachstelle in der Nachrichtenüberprüfung aus, um 2 Millionen BNB – etwa 590 Millionen Dollar – in das Venus-Protokoll zu transferieren.
Die BNB Smart Chain nahm ihren Betrieb wieder auf, kurz nachdem ein Angreifer 2 Millionen BNB von der Cross-Chain-Brücke abgezogen hatte.
Binance kündigte am 6. Oktober die Aussetzung von Einzahlungen und Abhebungen von seiner BNB-Kette an, nachdem ein Hacker etwa 2 Millionen BNB – etwa 590 Millionen Dollar – auf eine auf der Tether-Blacklist stehende Wallet transferiert hatte.
Die Validatoren der BNB-Kette aktualisierten daraufhin ihre Knoten und deaktivierten die native Cross-Chain-Kommunikation. Das Upgrade sollte den Hacker davon abhalten, weiteren Schaden anzurichten.
In den frühen Morgenstunden des 7. Oktobers gab Binance bekannt, dass die BNB Smart Chain ihren Betrieb wieder aufgenommen hat:
@BNBCHAIN ist wieder online. Wir haben jetzt @BNBCHAIN Einzahlungen und Abhebungen auf Binance wieder aufgenommen.
Wir danken Ihnen für Ihre Geduld. https://t.co/icZvlWaHGi
– Binance (@binance) Oktober 7, 2022
$568 Millionen durch BSC-Brücken-Hack verloren
Nach einer On-Chain-Untersuchung von Paradigm Research Analyst @samczsun nutzte der Angreifer eine in der Binance-Brücke gefundene Schwachstelle in der Nachrichtenüberprüfung aus, um 2 Millionen BNB (ca. 568 Millionen Dollar) in das Venus-Protokoll zu senden
Zusammenfassend lässt sich sagen, dass es einen Fehler in der Art und Weise gab, wie die Binance Bridge Proofs verifiziert, der es Angreifern ermöglicht hätte, beliebige Nachrichten zu fälschen. Glücklicherweise hat der Angreifer hier nur zwei Nachrichten gefälscht, aber der Schaden hätte weitaus schlimmer sein können
– samczsun (@samczsun) October 7, 2022
Nach Angaben des Sicherheitsunternehmens BlockSec rangiert der BSC-Bridge-Hack nun an dritter Stelle einer Liste von 11 kettenübergreifenden Brücken, die seit Juli 2021 einen kumulativen Schaden von 2 Milliarden Dollar verursacht haben.
Sicherheitsrisiko von kettenübergreifenden Brücken
Die wachsende Liste von Bridge-Hacks erinnert an Vitalik Buterins Argument gegen Cross-Chain-Bridges in einer Multi-Chain-Zukunft.
Mein Argument, warum die Zukunft *multi-chain* sein wird, aber nicht *cross-chain*: Es gibt fundamentale Grenzen für die Sicherheit von Brücken, die über mehrere „Zonen der Souveränität“ springen. Aus https://t.co/3g1GUvuA3A: pic.twitter.com/tEYz8vb59b
– vitalik.eth (@VitalikButerin) Januar 7, 2022
Vitalik argumentierte, dass kettenübergreifende Brücken die Sicherheitsrisiken bei der Übertragung von Vermögenswerten erhöhen. Da Vermögenswerte über verschiedene Blockchain-Sicherheitsnetzwerke übertragen werden müssen, sind die Ketten voneinander abhängig.
Folglich könnte ein Angriff auf eine Kette die Ansteckung auf andere Ketten ausweiten.