Odaily星球日報訊據Beosin EagleEye平台監測顯示,BSC Token Hub10月7日遭遇黑客攻擊,Beosin安全團隊現將手法解析如下:幣安跨鏈橋BSC Token Hub在進行跨鏈交易驗證時,使用了一個特殊的預編譯合約用於驗證IAVL樹。而該實現方式存在漏洞,該漏洞可能允許攻擊者偽造任意消息。 1)攻擊者先選取一個提交成功的區塊的哈希值(指定塊:110217401)。 2)然後構造一個攻擊載荷,作為驗證IAVL樹上的葉子節點。 3)在IAVL樹上添加一個任意的新葉子節點。 4)同時,添加一個空白內部節點以滿足實現證明。 5)調整第3步中添加的葉子節點,使得計算的根哈希等於第1步中選取的提交成功的正確根哈希。 6)最終構造出該特定區塊(110217401)的提款證明。 Beosin Trace正在對被盜資金進行實時追踪。