Největší kryptoburza Binance potvrdila, že na sklonku čtvrtka došlo k velké krádeži. Konkrétně byly vybrány dva miliony BNB (Binance Coin), což odpovídá zhruba 14 miliardám českých korun, respektive asi 570 milionům amerických dolarů. Neznamená to, že útočník reálně získal takovou sumu.
SlowMist, bezpečnostní firma orientovaná na kryptoměny, poukázala na to, že útočník se snažil peníze vyprat skrze jiné kryptoměny. Burza rychle zareagovala pozastavením činnosti BNB Chainu, jak se inkriminovaný blockchain nazývá, takže útočníkovi část kryptopeněz zablokovala. Zastavit decentralizovaný ekosystém není snadné, ale Binance jednotlivě požádalo všechny komunitní validátory.
BNB Smart Chain se v pátek ráno opět rozpohyboval poté, co byly v systému nasazeny softwarové aktualizace, aby stejná díra nemohla být zneužita dvakrát. Díky promptní akci ze strany Binance útočník mohl ukrást kryptoměnu v maximální hodnotě 100 milionů dolarů, tj. asi 2,5 miliardy korun.
Kryptoměny také řeší záplaty
Útočící entita zneužila zranitelné místo v komponentě cross-chain bridge, která propojuje nezávislé blockchainy, takže je možné snadno převádět virtuální peníze z jedné kryptoměny do druhé. Tento most propojuje blockchainy BNB Beacon Chain a BNB Smart Chain.
Šlo zřejmě o útok, kterému se říká double-spending. Jde o riziko každé digitální měny, které potenciálně hrozí, že bude jeden token utracen dvakrát. Zatímco kdybyste utratili stokorunovou bankovku, tak o ni fyzicky přijdete a znovu ji už použít nemůžete, digitální tokeny lze falzifikovat nebo duplikovat. Teoreticky.
Útočník využil chybu v cross-chain bridgi k tomu, aby mechanismu podstrčil celkem dvě zprávy o transakcích, které most považoval za validní, takže je schválil. Když to tedy zjednodušíme, tak útočník oklamal Binance Bridge a donutil virtuální most, aby mu poslal dvakrát milion BNB. K tomuto závěru došel výzkumník z kryptofirmy Paradigm, potvrzuje to i Adrian Hetman, bezpečnostní expert z Immunefi.
Podle agentury SlowMist neznámý jedinec zaútočil ze směnárenské služby ChangeNOW. První ani druhý milion k převodu tento jedinec ovšem reálně nikdy neměl. Většinu ukradených kryptopeněz se podařilo zablokovat, opatření budou následovat a Binance plánuje vydat tzv. post-mortem, kde se dozvíme detaily. Zvažuje se také zavedení programu, který by finanční odměnou lákal etické hackery a hackerky ke hledání zranitelných míst, aby mohla být vyspravena.
Zdroje: blog ChangeNOW | BNB Chain Blog | BNB Chain / Twitter | CNBC | CZ 🔶 Binance / Twitter | r/bnbchainofficial | samczsun / Twitter | SlowMist / Twitter | TechCrunch