EOS:Beosin:BSC Token Hub 用于验证 IAVL 树的方式存在漏洞,允许攻击者伪造信息_EOSJacks

ForesightNews消息,据BeosinEagleEye平台监测显示,BSCTokenHub10月7日遭遇黑客攻击,Beosin安全团队现将手法解析如下:币安跨链桥BSCTokenHub在进行跨链交易验证时,使用了一个特殊的预编译合约用于验证IAVL树。而该实现方式存在漏洞,该漏洞可能允许攻击者伪造任意消息。1)攻击者先选取一个提交成功的区块的哈希值2)然后构造一个攻击载荷,作为验证IAVL树上的叶子节点3)在IAVL树上添加一个任意的新叶子节点4)同时,添加一个空白内部节点以满足实现证明5)调整第3步中添加的叶子节点,使得计算的根哈希等于第1步中选取的提交成功的正确根哈希6)最终构造出该特定区块的提款证明据Beosin安全团队统计,总计有1.435亿美元的被盗资金通过跨链进行转移,通过跨链转移的资金约被盗资金中有7739万美元的资金通过各种跨链转入了以太坊,5896万美元的资金留存在FTM链中,400万美元的资金在Arbitrum链中,172万美元的资金在Avalanche链中,40万美元的资金在Polygon和110万美元在Optimism。BeosinTrace正在对被盗资金进行实时追踪。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:0ms0-3:818ms