原文：《BNBChain 遭攻击超5亿美金：时间轴梳理与原因解析》

作者：吴说区块链

据 Supremacy 梳理的最初时间轴：

北京时间 2022 年 10 月7 号 00:55分黑客于区块高度21955968通过调用合约 0x0000000000000000000000000000000000001006(BSC: Relayer Hub)缴纳 100 BNB 注册成为 Relayer。

02:26 分黑客于区块高度21957793通过调用合约 0x0000000000000000000000000000000000002000(BSC: Cross Chain)发起攻击，攻击获利100 万BNB。

04:43分黑客于区块高度21960470通过调用合约 0x0000000000000000000000000000000000002000(BSC: Cross Chain) 再度发起攻击，攻击再次获利 100 万 BNB。

黑客从 BNB ChainToken Hub 系统合约分两次共获取（凭空铸造）了 200 万枚 BNB，并将其中 90 万枚 BNB 在 BNB Chain 上借贷协议Venus 进行抵押，借出 6250 万 BUSD、5000 万 USDT、3500 万 USDC。

Supremacy 表示，截止发文前，我们认为 BSC 的默克尔树验证存在问题，分析仍在进行中。

据派盾，BNB Chain 攻击者已将约 8950 万美元的盗取资金转入其他链（非 BNB Chain），约 58% 资金转入以太坊，约 33% 资金转入 Fantom，约 4.5% 资金转入 Arbitrum。

Tether 迅速将 480 万以太坊上的USDT 列入黑名单（随后将 AVAX 上 170万 USDT 列入黑名单）。BNBChain 宣布将链暂停。“我们要求 BSC 验证者在接下来的几个小时内与我们联系，以便我们计划节点升级。”

CZ 表示，BSC Token Hub 是 BNB 信标链（BEP2）和 BNB 链（BEP20 或 BSC）之间的桥梁。目前受到影响的金额估计约为 1 亿美元。分析人士指出，虽然 BNBChain 及时暂停导致流出金额不大，但后续它也将面临尴尬局面，如果黑客不主动处理，那么停留在 BNBChain 内的金额如何处理的问题，势必又引发中心化/去中心化的争议。

慢雾创始人余弦评论：从盗窃手法+洗币手法来看，这波黑客下手快准狠，可能也没想到 Binance 下手也挺快准狠的（暂停 BSC、联合如 Tether 等进行相关资金冻结）。"这波黑客不简单...看这次能不能追踪出黑客身份"。但中文社区也对此有所批评，因为之前 BNBChain 对发生过的盗币案并未选择进行类似中心化的处理方式。

据慢雾，黑客最初资金的来源为 ChangeNOW，黑客地址曾与多个 DApp 交互，包括 Multichain、Venus Protocol、Alpaca Finance、Stargate、Curve、Uniswap、Trader Joe、PancakeSwap、SushiSwap 等。

分析师 @samczsun 发文解释了黑客利用 Binance Bridge 盗取 BNB 的方式。攻击者经过两次分别盗取 100 万 BNB，但使用的高度均为 110217401，远低于正常高度。此外，攻击者提交的证明短于合法证明，可见攻击者伪造了该特定块的证明。具体方法是在当 COMPUTEHASH 函数生成跟哈希时，增添一个新的叶节点，然后创造一个空白内部节点以满足证明者，在找出与内部节点匹配的跟哈希后提前退出。目前为止，通过这种方式生成的伪验证只有两条。

"总之，Binance Bridge 验证证明的方式存在一个错误，该错误可能允许攻击者伪造任意消息。幸运的是，这里的攻击者只伪造了两条消息，但损害本可能要严重得多"。