黑客攻击！币安链200万枚BNB被盗，损失超7亿元

华夏时报记者 卢梦雪 冉学东 北京报道

币圈再现黑客攻击，黑客本次事件主角为智能合约平台币安链（BNB Chain）。攻击

北京时间10月7日凌晨，币安被盗智能合约平台币安链（BNB Chain）遭遇黑客攻击，链万短短2小时，损失200万枚币安币被洗劫一空。超亿随后，黑客币安首席执行官赵长鹏在社交平台表示，攻击目前受损金额估计为1亿美元（约合人民币7.1亿元）。币安被盗

“今天的链万事件是BNB Chain在去中心化道路上经受的一次挑战。”10月8日，损失BNB Chain社区对《华夏时报》记者回应称，超亿“跨链桥的黑客技术发展正处于早期阶段，我们相信，攻击只有发现问题才能解决问题。币安被盗”尽管如此，BNB Chain社区同时表示，BNB Chain会继续在去中心化的道路上往前发展，包括继续增加更多验证节点。

200万枚BNB被盗

“这个问题目前已经得到控制，客户的资金是安全的。对于给投资者带来的不便，我们深表歉意，未来将提供进一步的系统更新。”攻击事件发生后，币安首席执行官赵长鹏在社交平台表示。

据媒体报道，10月7日凌晨，BNB Chain遭遇了黑客攻击，200万枚币安币被洗劫一空。对此，BNB Chain在社交平台表示，由于活动异常，目前正在维护中，暂时暂停所有通过BNB Chain的存取交易，直到有进一步的更新。

“BSC验证者正在协调在一个小时内启用最新版本，一是阻止黑客帐户之间采取行动，二是BNB Beacon Chain和BNB Smart Chain之间的原生跨链通信被禁用。”10月8日，BNB Chain社区回应《华夏时报》记者时表示，同时，他们正要求所有节点运行者尝试升级到上述最新版本，“验证者和社区也将讨论进一步升级以彻底解决这种情况”。

据BNB Chain社区介绍，该事件源于黑客对跨链桥BSC Token Hub的攻击，导致增发了更多的BNB，黑客从BSC提取的资金初步估计在7000万美元到8000万美元之间，“我们已要求所有验证者暂停运营BSC，同时通过BNB社区和多家安全合作伙伴的共同努力，估计有700万美元已经被冻结。”

“之所以客户的资金是安全的，一方面是因为链停掉了，然后把增发的币删除了；另一方面，流出去的资金已经被锁定了，无法交易，所以实际上属于无效攻击，对市场的影响有限。”一位区块链技术安全人员向《华夏时报》记者分析称。

据悉，BNB Chain原名BSC（币安智能链）。BSC公链早期冠名Binance Smart Chain，币安曾参与币安链和币安智能链BSC，前者在2019年4月上线，曾主要开设去中心化交易所Binance Dex；后者在2020年9月上线，支持智能合约编写功能。2022年2月，币安发布消息，原币安智能链（BSC）将更名为BNB Chain。同时，BNB是币安交易所的平台币，以及币安智能链的生态代币。截至发稿，BNB价格约281美元。

黑客攻击事件频发

DeFi是黑客攻击事件的高发领域。

根据Chainalysis发布的报告，2021年，攻击者从投资者那里窃取了总计32亿美元的加密货币。The Block·Research统计显示，2020年也有15起针对DeFi平台的黑客攻击事件，被盗资金高达1.2亿美元，仅有4560万美元被追回。

今年3月份，知名区块链游戏Axie Infinity的以太坊侧链Ronin Network遭遇黑客攻击，造成了约6.25亿美元（17.36万枚以太坊和2550万USDC）的损失，堪称有史以来最大的一次DeFi黑客攻击。

自2020年以来，DeFi项目获得了高速发展，而同时，其也因安全问题频频引起关注。币安研究院高级分析师江金泽在接受《华夏时报》记者采访时认为，DeFi项目常见的安全问题主要有7种，包括机制缺陷；代码逻辑漏洞；第三方代码库/服务漏洞（包括通信安全）；私钥泄露，或被钓鱼攻击；内部风控不足；项目方主观作恶捐款跑路；市场参与者导致的安全影响（如科学家抢跑、三明治攻击、闪电贷攻击等）。

DeFi项目之所以频频被黑客盯上，Muse Labs理事长、宋双杰博士在接受《华夏时报》记者采访时分析，一方面，DeFi项目往往涉及金额比较高，攻击的潜在收益高；另一方面，DeFi协议脆弱，DeFi协议几乎全部围绕着金融构建，发展一两年以来，交易、借贷等DeFi协议相互嵌套，无限放大风险，同时，DeFi还与NFT、Metaverse等链上产品交织，整个生态的复杂度急剧上升，使得把握体系内外蕴含的风险难度极高；此外，由于DeFi匿名性、开放性的特点，经常不进行准入审核，使得黑客的身份很难识别，这就使得对黑客的诱惑大，攻击成本低。

“而且DeFi几乎没有‘监管’。即使通过技术锁定了匿名攻击者的真实身份，当下也很难对攻击者给予任何惩罚，所以黑客攻击的成本过低，即使攻击被发现，也几乎没有什么损失。更可怕的是，一些国家，系统性的组建了自己的黑客团队，成规模、长周期的攻击DeFi协议。”宋双杰表示。

随着DeFi项目的发展，相比早期的区块链应用，DeFi项目的复杂度大幅度提升，江金泽认为，随着DeFi更深入地发展，这个复杂度还会进一步提升，而软件出现漏洞的概率与复杂度的平方成正比。

“项目自身设计存在的缺陷是很难完全被消除的，合约漏洞引起的攻击是大额安全事件的主要来源。尤其是智能合约权限过大和追求效率之间存在矛盾，很难两全齐美。”江金泽分析称，以币安链这次的安全事件来看，问题就是跨链桥这个App可以自行根据在一条链上接受到的存款在另外一条链放款，如果为了安全增加大额人工审核或者延时释放那势必会影响效率。

但同时应该看到，江金泽指出，有些权限漏洞的初衷也是为了保护用户，比如赋予项目方权限，使其发现了问题可以自主改动合约做相关治理及风险应急，“这样的权限如果移除了，也不一定更好。”

责任编辑：孟俊莲 主编：张志伟

最新评论