Włamanie na BNB Chain. Ukradli 544 mln USD, ale wypłacą niewielką część

Po raz kolejny okazało się, że mosty łączące poszczególne sieci blockchain to najsłabsze ogniwa infrastruktury wymiany tokenów. Hakerzy włamali się do BSC Token Hub. Szacuje się, że udało się im ukraść 544 mln USD, ale tylko część uda im się spieniężyć. Zespół BNB Chain zawiesił bowiem operacje sieci i zablokował pieniądze. Jak do tego doszło?

Włamanie i ogromna kradzież kryptowalut nie jest już tylko branżową plotką. Potwierdził je już nawet rzecznik Binance, który wydał właśnie oficjalne oświadczenie. Zamieścił je na Reddicie. Możemy w nim przeczytać m.in.:

„Wstępne szacunki dotyczące środków wycofanych z BSC wynoszą od 100 do 110 mln USD, jednak dzięki działaniom społeczności oraz naszym wewnętrznym i zewnętrznym partnerom bezpieczeństwa, około 7 mln USD zostało już zamrożonych.”

Sytuacja jest dynamiczna, bo początkowa kwota wynosiła 544 mln USD. Należy jednak pamiętać, że samo przejęcie kryptowalut, nie zawsze oznacza natychmiastową możliwość skorzystania z nich do własnych celów. Właśnie dlatego sama kradzież to często dopiero początek skomplikowanej operacji hakerskiej. Im szybciej uda się ją przerwać, tym mniej tokenów trafi do złodziei.

Jak działa BSC Token Hub

BSC Token Hub jest jest wewnętrznym mostem pomiędzy łańcuchami dla ekosystemu BNB Chain. Dzięki niemu można transferować tokeny pomiędzy blockchainem governance BNB Beacon Chain, a warstwą konsensusu BNB Smart Chain (BSC). Mosty pomiędzy łańcuchami to jedna z najnowszych gałęzi blockchain. I przez to jedna z najbardziej narażonych na ataki, jak każde nowatorskie rozwiązanie. Cały czas jest jeszcze rozwijana, zwłaszcza w zakresie bezpieczeństwa, ale – jak widać – nawet wśród najlepszych w tej branży jeszcze sporo jest do zrobienia.

Założyciel giełdy kryptowalut Binance, Changpeng Zhao, przyznał nawet, że hakerzy wykorzystali błąd, co „spowodowało pojawienie się dodatkowych BNB”. Właśnie dlatego od razu zwrócono się do walidatorów zatwierdzających wszystkie transakcje w sieci z prośbą o wstrzymanie działania BSC. Czas miał bowiem kluczowe znaczenie.

Hakerzy zdublowali tokeny BNB dzięki inwestycji

Rozwiązaniem był tzw. hard fork, wprowadzony przez zespół BNB Chain. To najszybsza i najprostsza forma zablokowania kont złodziei, a także zamrożenie transferów aktywów pomiędzy BNB Beacon Chain i BNB Smart Chain.

To pozwoliło na szybką lokalizację większości aktywów. Przedstawiciele giełdy kryptowalut Binance przekonują także, że środki zgromadzone na giełdzie kryptowalut są bezpieczne. I rzeczywiście, nikomu nic nie zginęło. Pieniądze klientów są tam, gdzie były. Okazało się bowiem, że lukę w systemie BSC Token Hub wykorzystano w celu zdublowaniu tokenów, co pozwoliło na ich podwójne wydatkowanie. Potwierdził to ekspert firmy Paradigm. 

Dzięki temu na adres hakerów trafiło 544 mln USD. Ale 80% tych środków, czyli ok. 433 mln USD jest w sieci BNB Chain i nie można ich wypłacić, wymienić na inne czy zastawić, pożyczyć etc.

Co ciekawe, nie był to zwykły atak, polegający na samej kradzieży. Najpierw trzeba było zainwestować, i to sporo. Analityczna firma SlowMist wskazuje, że złodzieje wykorzystali do tej akcji tokeny zdeponowane na giełdzie kryptowalut ChangeNOW. To dzięki jej wykorzystaniu zdeponowali 900 000 BNB w protokole pożyczkowym Venus Protocol. Potem otworzyli podwójnie zabezpieczone pozycje o wartości 147 mln USD. Pożyczkę będą jednak musieli spłacić, bo czuwa nad tym smart kontrakt. Jeśli jej nie spłacą, wykorzystane zostanie zabezpieczenie, które będzie stopniowo upłynniane. Wszystko wskazuje więc na to, że większość kwoty zostanie w systemie, ale nawet jeśli zostanie im kilka milionów USD, to pewnie i tak nie będą narzekać…