Злам BSC: що відомо на цей час?

До низки зломів за допомогою експлойту кросчейн-мостів потрапила мережа BNB Smart Chain. Попередньо, збиток склав сотні мільйонів доларів, не рахуючи неминучих репутаційних витрат.

Зловмисник вкрав 2 мільйони токенів BNB на 566 мільйонів доларів США, за допомогою експлойту моста Binance Bridge. Завдяки знайденій вразливості на рівні смарт-контракту, йому вдалося "переконати" міст дозволити подвійне витрачання коштів.

Відомо, що він використовував уразливість у конкретному блоці (110217401), в якому валідатори, чомусь, не "побачили" невідповідні параметри висоти блоку і розміру доказів.  

Перші розслідування показують, що хакер знайшов пролом у спеціальному контракті попередньої компіляції, що використовується для перевірки дерев IAVL. Помилка полягала в тому, що перевірка доказу на рівні Binance Bridge дозволяла зловмисникам підробляти будь-які повідомлення. На щастя, підроблено було всього два сповіщення, проте збиток міг бути значно більшим.

Глава Binance повідомив, що було ухвалено оперативне рішення про припинення роботи мережі, а також про те, що активи користувачів не піддавалися ризику викрадення. Хакер залишив "цифровий слід", тому частину коштів вдалося оперативно заблокувати.

Розробники досить швидко оновили код, анонсувавши проведення голосування спільноти з питань можливості заморожування виведених коштів, використання механізму автоматичного спалювання для покриття збитків, і запуску спеціальних баунті-програм для "білих хакерів".