For få dage siden, en bro baseret på BNB Chain blev ramt af et hackangreb, der gjorde det muligt for angribere at stjæle omkring $ 100 millioner i krypto.
På trods af at hacket ikke blev udført direkte på BNB Chain, men på en smart kontrakt, der kører på denne blockchain, besluttede BNB Chain-teamet stadig at hæve sikkerhedsniveauet.
Derfor oprettede de et presserende plaster til "afbøde den tværkædede infrastruktur mellem Beacon Chain og Smart Chain," så de kunne genaktivere krydskæden.
BNB Chain udfører en hård gaffel
For at anvende det plaster blev de tvunget til at frigive en ny version, 1.1.16, som reelt er en hård gaffel af den forrige.
For at opdatere decentraliserede protokoller er det ofte nødvendigt at udføre hårde gafler, som faktisk er opdateringer, der ikke er bagudkompatible.
Når en opdatering, der ikke er bagudkompatibel, anvendes på en protokol, oprettes en opdeling, hvor den nye protokol bliver noget anderledes end den forrige, fordi den ikke er bagudkompatibel. Dette skaber effektivt to forskellige protokoller, men hvis brugere og operatører holder op med at bruge den tidligere og erstatter den med den nye opdaterede version, er der kun én aktiv protokol tilbage.
Så i dette specifikke tilfælde var der ingen reel opdeling af kæden, fordi den gamle protokol er opgivet og fuldstændig erstattet af den nye, så der fortsat kun er én BNB-kæde.
Derimod, for eksempel, da den hårde gaffel, der indledte Ethereum Flet fandt sted, besluttede nogle minearbejdere ikke at opgradere og fortsætte med at bruge den gamle Proof-of-Work-baserede version. Ved at gøre det splittes kæden og to kryptovalutaer blev født, ETHW (Ethereum PoW) som ikke er andet end en fortsættelse af den gamle u-opdaterede PoW-baserede protokol, og ETH (faktiske Ethereum), som er den nye opdaterede PoS-baserede version.
Den hårde gaffel fra BNB Chain, der introducerede det presserende plaster, blev kaldt Moran, og det fandt sted ved blok 22,107,423.
Ændringerne foretaget af denne opdatering inkluderer ikke kun at rette sårbarheden i iavl-hash-tjek, men også at introducere blokoverskriften i sekvenstjek i smarte kontrakter på tværs af kæder og hvidlister genesis-kandidat-relayeren.
Sårbarhederne ved krydskædede broer
Cross-chain broer giver brugerne mulighed for at overføre ressourcer mellem to forskellige blockchains. Især den, der blev angrebet for et par dage siden, er en bro, der tillader udvekslinger mellem Beacon Chain og Smart Chain af samme BNB Chain. Faktisk varetager BNB Beacon Chain styringen og satsningen af netværket, mens Smart Chain bruges til Ethereum Virtual Machine-kompatible smarte kontrakter. Derudover kan begge disse kæder igen forbindes til andre kæder gennem en anden bro kaldet Token Hub.
Selvom angrebet således ikke fandt sted direkte på BNB Chain, men kun på broens smarte kontrakt, er det en for vigtig bro til blot at stoppe med at bruge den. Derfor var en indgriben fra BNB Chain-teamet nødvendig for at rette op på sårbarheden, så den kunne genaktiveres.
Angriberen udnyttede især sårbarheden relateret til iavl-hash-tjekket indbygget i broen, og dette krævede at anvende den tilsvarende patch.
Angriberen havde formået at præge 2 millioner BNB-tokens ud af den blå luft, til en værdi af omkring 560 millioner dollars. Senere lykkedes det ham at overføre tokens med en samlet værdi på omkring $100 millioner til andre blockchains såsom Ethereum, Fantom, Polygon, Avalanche og Arbitrum. Størstedelen af de oprettede BNB-tokens forblev dog på BNB Chain og blev efterfølgende frosset.
Efter at have realiseret angrebet bad BNB Chain-teamet alle 44 validatorer om et øjeblik at standse operationer, for kun at genaktivere dem senere, efter at den angrebne bro blev lukket. Takket være det plaster, der blev påført i går, skulle broen genaktiveres.
Det er værd at bemærke, at denne type operation, nemlig at suspendere aktiviteterne i hele blockchain, på virkelig decentraliserede protokoller er praktisk talt umulig, fordi det er ekstremt svært for alle noder faktisk at stoppe med at fungere. For eksempel har Bitcoin mere end 15,000 noder, stort set ukendt, så det ville i realiteten være umuligt at overbevise dem alle om at lukke ned, selvom det kun var i en vis periode.
BNB Chain er på den anden side en protokol, der oprindeligt er skabt af Binance, og med kun 44 validatorknuder, som alle er kendte. Det faktum, at det var muligt at kontakte dem alle og meget hurtigt overbevise dem om at stoppe driften, afslører det ret tydeligt det er ikke en virkelig decentral protokol.
Kilde: https://en.cryptonomist.ch/2022/10/13/hard-fork-on-bnb-chain-to-boost-security/