Beosin:BSC Token Hub被攻击事件手法解析
摘要: 币安跨链桥BSC Token Hub在进行跨链交易验证时,使用了一个特殊的预编译合约用于验证 IAVL 树。而该实现方式存在漏洞,该漏洞可能允许攻击者伪造任意消息。
链得得(微信号:ChainDD)10月07日讯,据Beosin EagleEye平台监测显示,BSC Token Hub10月7日遭遇黑客攻击,Beosin安全团队现将手法解析如下:币安跨链桥BSC Token Hub在进行跨链交易验证时,使用了一个特殊的预编译合约用于验证 IAVL 树。而该实现方式存在漏洞,该漏洞可能允许攻击者伪造任意消息。 1)攻击者先选取一个提交成功的区块的哈希值(指定块:110217401) 2)然后构造一个攻击载荷,作为验证IAVL树上的叶子节点 3)在IAVL树上添加一个任意的新叶子节点 4)同时,添加一个空白内部节点以满足实现证明 5)调整第3步中添加的叶子节点,使得计算的根哈希等于第1步中选取的提交成功的正确根哈希 6)最终构造出该特定区块(110217401)的提款证明 Beosin Trace正在对被盗资金进行实时追踪。
链得得仅提供相关信息展示,不构成任何投资建议
评论(0)
Oh! no
您是否确认要删除该条评论吗?