De aanvaller maakte gebruik van een kwetsbaarheid voor berichtverificatie die in de BSC-bridge was gevonden om 2 miljoen BNB – ruwweg $590 miljoen – over te brengen naar het Venus-protocol.
De BNB Smart Chain hervatte zijn activiteiten kort nadat een aanvaller 2 miljoen BNB uit de cross-chain bridge haalde.
Binance kondigde de opschorting aan van stortingen en opnames van zijn BNB-keten op 6 oktober, nadat een hacker ongeveer 2 miljoen BNB – ruwweg $590 miljoen – had overgemaakt naar een portemonnee op de zwarte lijst van Tether.
Validators van de BNB-keten besloten hun nodes te upgraden en schakelden native cross-chain communicatie uit. De upgrade was bedoeld om de hacker ervan te weerhouden meer schade aan te richten.
In de vroege uren van 7 oktober kondigde Binance aan dat de BNB Smart Chain de activiteiten heeft hervat.
@BNBCHAIN is weer online. We hebben nu @BNBCHAIN stortingen en opnames op Binance hervat.
Bedankt voor uw geduld. https://t.co/icZvlWaHGi
– Binance (@binance) October 7, 2022
$568 miljoen verloren in BSC bridge hack
Volgens een on-chain onderzoek door Paradigm Research Analyst @samczsun, maakte de aanvaller gebruik van een kwetsbaarheid voor berichtverificatie, gevonden in de Binance bridge, om 2 miljoen BNB (ongeveer $568 miljoen) in het Venus protocol te sturen.
Samengevat was er een bug in de manier waarop de Binance Bridge bewijzen verifieerde, waardoor aanvallers willekeurige berichten hadden kunnen vervalsen. Gelukkig heeft de aanvaller hier slechts twee berichten vervalst, maar de schade had veel erger kunnen zijn
– samczsun (@samczsun) Oktober 7, 2022
Volgens beveiligingsbedrijf BlockSec staat de BSC bridge hack nu op de derde plaats in een lijst van 11 cross-chain bridges die sinds juli 2021 een cumulatief verlies van 2 miljard dollar hebben geleden.
Veiligheidsrisico van cross-chain bruggen
De groeiende lijst van bridge hacks doet denken aan Vitalik Buterin’s argument tegen cross-chain bruggen in een multi-chain toekomst.
Mijn argument waarom de toekomst *multi-chain* zal zijn, maar niet *cross-chain*: er zijn fundamentele grenzen aan de veiligheid van bruggen die over meerdere “zones van soevereiniteit” springen. Van https://t.co/3g1GUvuA3A: pic.twitter.com/tEYz8vb59b
– vitalik.eth (@VitalikButerin) Januari 7, 2022
Vitalik voerde aan dat kettingoverbruggingen de veiligheidsrisico’s bij de overdracht van activa vergroten. Aangezien activa over verschillende blockchain-veiligheidsnetwerken moeten worden overgedragen, worden ketens van elkaar afhankelijk.
Bijgevolg kan een aanval op één keten de besmetting over andere ketens verspreiden.