Million Dollars BSC Token Hub Bridge Hack Analysis

Lästid: 4 minuter

Sammanfattning:

Den 7 oktober 2022 inträffade en exploatering som påverkade den inhemska tvärkedjebryggan kallad "BSC Token Hub". Felet finns i bevisverifieraren för bron. Totalt 2 miljoner BNB drogs tillbaka och Binance pausade BSC Network tillfälligt för att förhindra ytterligare skador. Medel som tagits bort från BSC uppskattas till mellan 100 miljoner dollar och 110 miljoner dollar.

Introduktion till Binance Smart Chain & Token Hub Bridge:

Binance Smart Chain (BSC) är ett blockkedjebaserat nätverk som används för att köra applikationer rotade i smarta kontrakt. BSC arbetar parallellt med Binances inhemska Binance Chain (BC), vilket gör att användare kan dra fördel av BC:s snabba transaktionskapacitet samt BSC:s smarta kontraktsfunktioner.

• BNB Beacon Chain (tidigare Binance Chain) – BNB Chain Governance (Insats, röstning)
• BNB Smart Chain (BSC) (tidigare Binance Smart Chain) – EVM-kompatibla, konsensuslager och med nav till multikedjor

Kolla in vår Artikeln för mer detaljer.

BSC Token Hub:

BSC Token Hub är bryggan mellan BNB Beacon Chain (BEP2) och BNB Chain (BEP20 eller BSC). Kolla in den officiella dokumentation av Binance för mer information.

Sårbarhetsanalys och påverkan:

Attacktransaktionsdetaljer:

Hackarens adress: 0x489a8756c18c0b8b24ec2a2b9ff3d4d447f79bec

1:a Txn Hash: 0xebf83628ba893hd35b496121fb8201666b8e09f3cbadf0e269162baa72efe3b8b

2:a Txn Hash: 0x05356fd06ce56a9ec5b4eaf9c075abd740cae4c21eab1676440ab5cd2fe5c57a

BSC Token Hub-kontrakt: 0x0000000000000000000000000000000000001004

Original Txn-hash (med blockhöjd på 110217401): 0x79575ff791606ef2c7d69f430d1fee1c25ef8d56275da94e6ac49c9c4cc5f433

The Bug:

BSC Token Hub använder ett förkompilerat kontrakt för att validera IAVL(Immutable AVL)-träd när man utför korskedjad transaktionsverifiering. Exploatören utnyttjade en bugg i bevisverifieringslogik och anpassade ett legitimt bevis för att göra bron mint 2M BNB till dem.

Grundorsaken verkar vara detta linje:

Problemet är att lpath.Right kan vara oanvänd i beräkningen av trädets rothash.

För att fixa detta bör linjen ändras

Från:

```
if !bytes.Equal(derivedRoot, lpath.Right) ...

till något som:

”'

Till:

```
expectedHash := lpath.Left

 if len(lpath.Left) == 0 {

   expectedHash = lpath.Right }

 if !bytes.Equal(derivedRoot, expectedHash) ...

”'

Attacken:

1. Angriparen använde hashen för ett framgångsrikt skickat block som gjordes för 2 år sedan (specificerat block: 110217401) för att konstruera en nyttolast som en lövnod för att verifiera IAVL-trädet. Originaltransaktionsinformation om detta kan hittas här..

2. Angriparen injicerade en lövnod som innehöll som nyckel den aktuella paketsekvensen och som värde den onda nyttolastens hash (dvs. präglat 1M BNB till deras adress). Lägg sedan till en tom inre nod till bladet för att uppfylla implementeringsbeviset.

3. Angriparen satte i den vänstra sökvägen som Höger i hashen för bladnoden som just skapats för att göra rothashen lika med den framgångsrika inskickade rothashen och konstruerade slutligen uttagsbeviset för det specifika blocket och skickade transaktionen.

4. Efter att ha skickat transaktionen och mottagit $1 M BNB. Angriparen upprepade stegen igen och fick ytterligare 1 miljoner BNB. Den totala summan uppgick till 2Million BNB, dvs. 570 miljoner USD.

Angriparen försökte 17 gånger prägla 1M BNB men de misslyckades 15 gånger och den präglade bara 2M BNB. Anledningen till detta var att de hade en konkurrens med andra legitima transaktioner som körde exploatören tx i förväg med samma packageSequence.

Efter exploateringen:

Några timmar efter attacken meddelade VD:n för Binance CZ händelsen genom en tweet och stoppade BSC-nätverket för att förhindra ytterligare skada.

En exploatering på en tvärkedjebrygga, BSC Token Hub, resulterade i extra BNB. Vi har bett alla validerare att tillfälligt stänga av BSC. Frågan är innesluten nu. Dina pengar är säkra. Vi ber om ursäkt för besväret och kommer att ge ytterligare uppdateringar i enlighet med detta.

- CZ 🔶 Binance (@cz_binance) Oktober 6, 2022

Några timmar senare fixade Binance problemet med den senaste versionen v1.1.15. Det blockerade flödet av angriparnas pengar genom att svartlista angriparens adress.

📢BNB Smart Chain (BSC) fungerar ok från 20+ minuter sedan.

Validatorerna bekräftar sin status och gemenskapsinfrastrukturen uppgraderas också.

— BNB Chain (@BNBCHAIN) Oktober 7, 2022

Binance svartlistade angriparens adress nyligen förbinda.

Medlens status:

Omsättningstillgångar som innehas av angriparen i olika kedjor:

Flödet av medel:

Bild Källa: https://twitter.com/BeosinAlert/status/1578290676793384961/photo/1

Ytterligare referens/kredit:

För fem timmar sedan stal en angripare 2 miljoner BNB (~566 miljoner USD) från Binance Bridge. Under den tiden har jag arbetat nära med flera parter för att triage och lösa det här problemet. Så här gick det till. pic.twitter.com/E0885Dc3lW

- samczsun (@samczsun) Oktober 6, 2022

https://github.com/emilianobonassi/bsc-hack-analysis-2022-10-06

---

Web3-säkerhet - Tidens behov

Varför QuillAudits For Web3 Security?

QuillAudits är välutrustad med verktyg och expertis för att tillhandahålla cybersäkerhetslösningar som sparar förlust av miljoner i medel.

9 Visningar