Hackerský útok na cross-chain infrastrukturu blockchainů Binance 6. října byl jednou z největších událostí na kryptoměnách posledních týdnů. I přes to se však informace napříč zpravodajskými servery různí. Pojďme si proto v dnešním článku rozebrat, jak přesně hack probíhal, jaké jsou škody i jak Binance již reaguje a plánuje reagovat.
Hack blockchainu Binance
Ač se s hackerskými útoky na kryptoměnách setkáváme poměrně pravidelně, ne každý den se podobná situace stane na jedné z těch úplně největších a nejoblíbenějších kryptoměn. Jak se nechal slyšet CEO Binance, Changpeng Zhao, žádný software není naprosto perfektní. Přesto však od projektu jako je Binance Coin (nativní kryptoměna Binance ekosystému), jehož kapitalizace přesahuje 40 miliard dolarů, očekáváme bezchybnost. Jakýkoliv útok totiž může znamenat masivní ztráty. Tak se taky ukázalo, když při hacku získali útočníci až přibližně 566 milionů dolarů. Z této částky si však reálně odnesly méně než pětinu díky brzkému zásahu týmu Binance a jednotlivých validátorů na blockchainu. K tomu se však ještě dostaneme.
Duální architektura blockchainu Binance
Pro pochopení hackerského útoku je důležité si ujasnit, jak vypadá blockchainový ekosystém Binance. Ten je složen ze dvou blockchainů. Jedná se o starší Binance Chain (nově označován za Binance Beacon Chain) a novější Binance Smart Chain (BSC). Binance Chain byl vytvořen na základě Cosmos SDK a využívá Tendermint.
Jeho funkcionalita je oproti BSC strohá, kdy jeho hlavním účelem jsou maximálně rychlé a levné přesuny tokenů napříč blockchainem a využití uvnitř Binance DEX. Oproti tomu Binance Smart Chain nabízí smart kontrakty a spoustu dalších funkcí, kdy jeho technologie vychází z Ethereum Virtual Machine (EVM) a jedná se v praxi o fork vytvořený na základě geth(). Oba blockchainy poté využívají binance coin (BNB) jako nativní kryptoměnu.
Jsme nově také na sociální síti LinkedIn. Máte-li jakýkoli dotaz týkající se kryptoměn, neváhejte se přidat do naší diskuzní skupiny na Facebooku. Nezapomeňte se také připojit na náš oficiální discord server KRYPTOMAGAZIN CZ, kde naleznete další zajímavý obsah. Máme také Youtube kanál, kde můžete dát odběr, aby vám neuteklo žádné video nebo stream. Podporu nám můžete vyjádřit skrze Patreon ZDE.
Byl napaden přímo blockchain?
Čím je důležité začít je to, že útočníci nenapadli přímo jeden z blockchainů, ale Binance Bridge. Ten je mostem mezi zmíněnými dvěma blockchainy. Pokud tak někdo má BNB na blockchainu Binance Beacon Chain a chce jej využití na Binance Smart Chainu, musí využít právě zmíněný Binance Bridge (nebo alternativní mosty).
Je tedy důležité si uvědomit, že hackeři necílili přímo na chybu v ani jednom z blockchainů Binance, ale pouze na tento nástroj převodu kryptoměn mezi nimi. Chyba v samotném blockchainu by byla výrazně negativnější událostí, která by mohla mít ještě mnohem horší dopad na celý Binance ekosystém.
Binance hack v praxi
V případě, že někdo chce dostat své binance coiny na BSC, musí mostu dokázat, že je vlastnil a vybral z původního Binance Chainu a že se opravdu jedná o totožné kryptoměny. Tato metoda je podobná té, která se využívá u dalších IBC light clientů (Rainbow Bridge,…) a její výhoda je v tom, že se vše děje uvnitř protokolu a není zde potřeba důvěra v žádného externího validátora.
Ukázalo se však, že ani tak rozhodně není bez rizika, kdy hacker objevil chybu v tomto systému využívaném Binance Bridge. Chybu využil k tomu, aby padělal zmíněný důkaz o vlastnění a výběru kryptoměn z Binance Chainu. Díky tomu se mu podařilo prakticky vytvořit úplně nové binance coiny.
Důležité je zde tedy to, že se nejedná o někomu ukradené binance coiny, a to jak uživatelů, tak přímo subjektů zaštiťujících Binance či Binance Bridge. Nové kryptoměny byly vytvořený doslova z ničeho. Útočník poté neváhal a okamžitě začal kradené BNBs měnit za další tokeny a s pomocí Stargate Finance je přesouvat pryč z Binance Smart Chainu.
Kolik bylo ukradeno?
Jedny z největších rozporů napříč zpravodajskými servery informujícími o této události najdeme právě v tom, kolik kryptoměn bylo ukradeno. Útočníkovi se totiž podařilo na základě padělaného důkazu vytvořit nový 1 000 000 BNB, a to dokonce dvakrát. Škoda se tak na první pohled zdála být na cca 566 milionech dolarů. Díky brzkému zásahu Binance a jednotlivých validátorů se ji však brzy podařilo redukovat.
V Binance se totiž společně s validátory rozhodli, že okamžitě blockchain pozastaví, jak se také ještě v noc hackerského útoku stalo. Díky pozastavení a následnému zmražení prostředků bylo z ukradené částky zachráněno přibližně 430 milionů dolarů, což konečný zisk hackerů staví na přibližně 100-130 milionů dolarů. Ty se útočníkovi podařilo dostat pryč z Binance Chainu ještě před jeho zastavením.
Právě zastavení blockchainu a nízký počet validátorů vyvolaly diskuzi mezi fanoušky kryptoměn, které událost rozdělila na dva tábory. První z nich chválí Binance za brzký a profesionální zásah, díky kterému byla škoda masivně redukována a bylo zabráněno páchat další škody (hacker by totiž chyby nadále mohl využívat). Druhý zdůrazňuje neexistující decentralizaci, kdy se skupina pouhých 26 aktivních validátorů domluvila na kompletním zastavení blockchainu. A je jen otázkou, na čem by se tak malá skupina validátorů mohla domluvit v budoucnu.
Jak Binance na hack reaguje a co bude následovat?
Již nedlouho po hackerském útoku byl vydán update, který zabránil dalšímu využívání chyby v cross-chain infrastruktuře mezi Beacon a Smart Chainy. K dnešnímu datu již byl pomocí forku tento upgrade nazývaný Moran implementován. Tím ale stále ještě není situace plně vyřešena.
Otázkou totiž je, jak se dále komunita pomocí on-chain hlasování dohodne na několika důležitých věcech. Konkrétně se jedná o to, zdali kradené prostředky zmrazit či nezmrazit a jestli by případně nemělo být spálen stejný počet binance coinů, jako byl ukraden. Kradené BNBs totiž představují růst celkového počtu mincí v oběhu, což znehodnocuje již existující mince.
Do komunita Binance také plánuje whitehat program s odměnou až 1 000 000 dolarů za každý značný bug, který whitehat hackeři najdou. Stejně tak nabídla odměnu 10 % z kradených prostředků tomu, kdo zajistí dopadení hackerů a navrácení prostředků.
Je Cosmos v ohrožení?
Když se ponoříte do zkoumání hackerského útoku, často se dočtete spojení technologie s IBC a potažmo s ekosystémem Cosmos. Ač technologie ze zmíněných produktů vyplývá, její implementace je podle slov vývojářů Cosmu značně zastaralá. Chyba totiž byla nalezena v části tzv. Merkle proofs, kdy Cosmos blockchainy využívají Merkle tree zvaný IAVL (ekvivalent pro patricia tree na Ethereu). Zde IAVL repo využívá API pro konstrukci a ověřování důkazů s využitím tzv. RangeProof objektu. A právě objevili chybu v kontextu s Binance Bridge hackem.
Právě zastavení blockchainu a nízký počet validátorů vyvolaly diskuzi mezi fanoušky kryptoměn, které událost rozdělila na dva tábory. První z nich chválí Binance za brzký a profesionální zásah, díky kterému byla škoda masivně redukována a bylo zabráněno páchat další škody (hacker by totiž chyby nadále mohl využívat).
Druhý zdůrazňuje neexistující decentralizaci, kdy se skupina pouhých 26 aktivních validátorů domluvila na kompletním zastavení blockchainu. A je jen otázkou, na čem by se tak malá skupina validátorů mohla domluvit v budoucnu.
Ač sice Cosmos také vydal vlastní update redukující riziko této chyby, totožná technologie zde již delší dobu není využívána. Cosmos blockchainy využívající aktuální verzi tohoto open-source řešení by tak měly být před touto chybou v bezpečí. Bezpečnost cross-chain infrastruktury je však stále kritickým tématem pro rozvoj kryptoměnového ekosystému nad rámec Bitcoinu a rozhodně je nutné si v této oblasti dávat maximální pozor, a to samozřejmě nejen na blockchainech Binance.
