Команда криптовалютной биржи Binance сообщила о временной приостановке работы Binance Smart Chain. Дело в том, что BSC Token Hub (внутренний кроссчейн-мост экосистемы BNB Chain) был скомпрометирован, и злоумышленники попытались похитить активы на сумму около 566 млн долларов США, но сумели вывести «всего» 100-110 млн долларов США.
Судя по всему, атака началась еще днем в четверг, 6 октября 2022 года, когда в кошелек злоумышленника поступили две транзакции, каждая из которых равнялась 1 000 000 BNB (1, 2). Вскоре после этого хакер начал распределять средства по различным пулам ликвидности, пытаясь перевести BNB в другие активы.
Binance сообщила об инциденте ночью 7 октября по московскому времени. Глава биржи Чанпэн Чжао заявил в Twitter, что некто использовал эксплоит против кросс-чейн моста, что привело к появлению дополнительных BNB. В результате Binance Smart Chain просит всех валидаторов приостановить работу на время расследования инцидента.
По словам Чжао, в настоящее время «проблема локализована» и все средства в безопасности.
«Первоначальная оценка средств, похищенных из BSC, составляет от 100 до 110 миллионов долларов. Однако благодаря сообществу, а также нашим внутренним и внешним партнерам по безопасности, примерно 7 миллионов долларов уже заморожены», — гласит официальное заявление компании на Reddit.
Технических подробностей произошедшего пока нет, но судя по сообщениям ИБ-исследователей, похоже, речь может идти о критическом баге в BSC Token Hub, который позволил хакеру провести так называемую атаку двойного расходования.
Источник: xakep