Der BNB-Hack – oder wie man eine Blockchain anhält
Gefrorene Kette. Bild von macredloaded.com via flickr.com. Lizenz: Creative Commons
Ein Hacker greift eine Cross-Chain-Brücke an und erbeutet BSC-Token im Wert von 600 Millionen Dollar. Doch die BSC-Blockchain stoppt daraufhin und friert den Großteil der erhackten Token ein.
Gestern war es mal wieder so weit. Es kam zu einem schwerwiegenden Hack. Und zwar traf es die Cross-Chain-Bridge BSC Token Hub.
Eine solche „Brücke“ dient dazu, Token und Coins von einer Blockchain auf die andere zu verschieben, etwa von Ethereum auf die Binance Smart Chain (BSC), weil dort die Gebühren für DeFi und NFT günstiger sind. Im Zuge der explodierenden Gebühren auf Ethereum gewannen solche Brücken an Bedeutung. Sie wurden aber auch zu einem beliebten Opfer von Angriffen.
Die Hacker griffen die “ BSC Token Hub“-Brücke an, indem sie „auf ausgeklügelte einen Low Level Proof in eine geteilte Library hineinfälschten“. Das ist das offizielle Statement von BNB. Mehr Info zum Hergang des Hacks sind derzeit nicht verfügbar. Über das Resultat weiß man allerdings mehr: Der Hack führte, twitterte Chengpeng Zhao von Binance, „zu extra BNB“. Das sind die nativen Token der Binance Blockchain.
An exploit on a cross-chain bridge, BSC Token Hub, resulted in extra BNB. We have asked all validators to temporarily suspend BSC. The issue is contained now. Your funds are safe. We apologize for the inconvenience and will provide further updates accordingly.
— CZ 🔶 BNB (@cz_binance) October 6, 2022
Der Hack erschuf also, wenn ich es richtig verstehe, BNB-Token. Oder er konnte von der Brücke BNB-Token abheben, ohne vorher andere Token eingezahlt zu haben. In jedem Fall zahlte er sich „insgesamt zwei Millionen BNB aus“, so die offizielle Mitteilung. Bei einem Marktwert von knapp 300 Dollar entspricht das etwa 600 Millionen Dollar. Damit sichert sich der Vorfall einen Platz in der Liste der größten Krypto-Hacks.
Der finanzielle Schaden hält sich jedoch in Grenzen. Denn die BSC-Blockchain wurde kurz nach dem Vorfall gestoppt.
Due to irregular activity we're temporarily pausing BSC. We apologize for the inconvenience and will provide further updates here.
Thank you for your patience and understanding.
— BNB Chain (@BNBCHAIN) October 6, 2022
Wie kann das sein? Selbst BNB Chain Labs, die offizielle Entwicklerorganisation der Binance-Chain, erklärt im selben Atemzug: „Dezentrale Blockchains sollten nicht angehalten werden können.“ Ist BNB bzw. BSC also nicht mehr dezentral, sondern, wie es seit eh und je heißt, vollständig unter der Kontrolle der Börse Binance und deren Boss Chengpeng Zhao?
Man habe, fährt die Ankündigung fort, „jeden einzelnen Community Validator kontaktieren.“ Dies sei nicht einfach gewesen, da es aktuell 26 und insgesamt 44 Validatoren für die Smart Chain gibt, und diese in verschiedenen Zeitzonen agieren. „Das hat das Anhalten verzögert. Aber wir waren in der Lage, die Verluste zu minimieren.“ Auf Twitter bedankt sich der BNB-Account bei den kooperierenden Validatoren.
A huge thank you to the following
Hash, Neptune, TW Staking, BSCScan, Legend, CertiK, Figment, NodeReal, Namelix, Defibit, Fuji, InfStones, MathWallet, Pexmons, Ankr, BNB48 Club, Avengers, Tranchess, Coinbase Cloud
For their quick and decisive actions – a true community.
— BNB Chain (@BNBCHAIN) October 6, 2022
Heute morgen veröffentlichte BNB Labs ein Update der Node-Software, das wohl verhindert, dass sich der Fehler wiederholt, indem es die „native Cross-Chain-Kommunikation zwischen BNB und BSC abschaltet“. Darüber hinaus friert das Update die Accounts des Hackers ein.
Ein Großteil der Beute des Hacks konnte auf diese Art eingefroren werden, wobei noch nicht ganz klar ist, wie man mit den Token weiter vorgeht. Laut BNB blieben aber Token im Wert von 70-80 Millionen Dollar, die auf andere Blockchains verschoben worden waren, bevor die BSC-Chain angehalten wurde. Durch die Zusammenarbeit mit Börsen und anderen Partnern sei es aber gelungen, weitere 7 Millionen Dollar einzufrieren.
Ich persönlich empfinde im aktuellen DeFi Umfeld „semi“-dezentrale Blockhains sogar eher als Vorteil solange bis die Sicherheit der Smartcontracts ausgereifter ist. Es ist einfach für den User besser, im Notfall eines riesigen Hacks noch ein Sicherheitsnetz zu haben. Wünschenswert wäre natürlich komplette echte Dezentralität, aber dann müssten die aktuellen DeFi Anwendungen deutlich sicherer vor Hacks sein.
„Dezentral und sicher“ – genau das hat sich Cardano seit seiner Gründung gross auf die Fahnen geschrieben. Und doch wird sein wissenschaftlicher und methodischer Ansatz bei der Entwicklung von vielen belächelt und verspottet. Es ist für mich immer noch unverständlich, warum der Kryptomarkt Projekte, die schneller liefern, höher bewertet als solche, die mehr Wert auf Sicherheit und Dezentralisierung legen. Das wird sich aber ändern.
Es gibt nur ein Netzwerk, das niemand anhalten kann, und das ist Bitcoin.
Alles andere sind Marketingbuden, die dir ein X für ein U vormachen.
Und da muss man sich auch nichts „wünschen“ wie Maxe hier kommentiert, man muss es nur nutzen. Denn Bitcoin liefert bereits echte Dezentralität, von der andere nur schwafeln, niemals liefern werden und letztlich damit naiven Kleininvestoren nur das Geld aus der Tasche ziehen.
Dasselbe wie jetzt bei dem Binance Coin war 2016 bei Ethereum passiert, als die Blockchain einfach geforkt wurde und damit Eth Classic entstand.
Der damalige Tweet von Vitalik Buterin, der sich mit „ok can you guys stop trading“ an die Börsen wandte, ist bis heute ein populäres Bitcoin-Meme, das sich über die zentrale Kontrolle der „Ethereum AG“ lustig macht.
Ein wenig mehr selbstkritische Betrachtung würde vielen Bitcoinern durchaus gut tun. Nachdem China Mining größtenteils gebannt hat, ist ein Großteil (>50%) der Hashrate wohl in die USA, Kanada, Island, Norwegen und andere Staaten mit günstiger Energie abgewandert, die alle den „Empfehlungen“ der FATF folgen und diese könnte z.B. im ersten Schritt verlangen, dass sie keine Transaktionen mit sanktionierten Adressen verarbeiten. Da Transaktionsgebühren sich aktuell bei 1-3% des Mining Rewards einpendeln, wäre das kein großer Schaden für die Miner und sie würden sich höchstwahrscheinlich beugen, weil die paar blockierten Transaktionen keinen Unterschied für sie machen. Im zweiten Schritt könnte die FATF auch wie von Börsen verlangen, dass Miner Transaktionen über mehrere Hops zurückverfolgen… Ein rationaler Miner wird das so lange ertragen, bis der Aufwand seinen Vorteil bei den Stromkosten übersteigt.
Je nach Quelle ist Mining derzeit zu 35-40% in den USA, Kanada zusätzliche 5-10%. Ist das wirklich diese Dezentralisierung? Such mal nach Riot Mining bei Youtube…
Ich behaupte Mal, wenn es um PoW Konsens geht, ist kein Netzwerk so dezentral wie das von Monero. Es gibt Millionen an Minern, die zu Hause an ihren Rechnern etwas Hashrate beitragen, es gibt keine industriellen Miner, es gibt praktisch keine Einstiegshürde, denn mit allem, was eine CPU hat, selbst mit einem alten Android Handy kann man teilnehmen, ohne sich einen ASIC für einen 5-stelligen Betrag kaufen zu müssen und hoffen, dass der auch geliefert wird.
Dir ist schon klar, dass es damals bei Ethereum keinen Rollback gab, sondern der Smart Contract gezielt nachträglich per Update verändert wurde? Hingegen gab es bei Bitcoin ca. 1,5 Jahre nach seiner Existenz einen Inflationsbug, bei dem die Chain zurückgespult wurde und valide Blöcke, die danach kamen, invalide wurden: https://decrypt.co/39750/184-billion-bitcoin-anonymous-creator
Halt doch den Ball flach. Bei allen Projekten außer bitcoin ist eine Änderung der blockchain praktisch möglich. Deshalb passiert es auch der Reihe nach über die Jahre bei allen Projekten.
Und aus dem Hardfork ging damals das heutige ETH hervor. Übrig blieb das Ethereum Classic, ohne Rollback. Ein Hardfork eben.
Das ist schlichtweg falsch. Was meinst Du, wie die Bitcoin Community / Developer / Miner reagieren würden, falls bei Bitcoin erneut ein Inflationsbug wie damals (oben erwähnt) entdeckt und exploitet werden würde?
Wie gesagt, es war kein klassischer Roll-Back, man hat lediglich den Smart Contract der DAO nachträglich verändert und nicht erlaubt, dass die Funds an eine andere Adresse gehen als sie eingezahlt wurden. Jeder Betroffene konnte also seine eingezahlten Funds in diesem Contract zurückclaimen (da es vor der Überschreitung der Haltezeit geschehen ist). Alle sonstigen Transaktionen auf der Blockchain, die nicht in diesen Contract involviert waren, waren nicht davon betroffen, es gab also keinen Kollateralschaden.
Vielleicht habe ich mich falsch ausgedrückt: ich würde mir echte Dezentralität AUCH für DeFi wünschen. Ich selber bin Bitcoin Nutzer seit 2011 😉
Nur ist die eigentlich tolle DeFi Welt auf der Bitcoin Blockchain (bisher?) noch nicht möglich. Und selbst wenn: bei Deafi sind im Regelfall nicjt die Blockchains das Problem, sondern dei Smart Contracts.
Mit Coinbase die Crème de la Crème der KYC und Regulierungs-Shitshow sonst wohl alle auf eine Weise mit Binance verbunden oder gar nicht auffindbar und wahrscheinlich Tochterunternehmen, wenn man sich schon „Hash“, „Legend“ oder „Avengers“ nennt. Wenn mich nicht alles täuscht, wurden die 21 Validatoren von 11 „Entities“ ausgewählt, die einen Bezug zu Binance hatten, kann mich aber in den Details täuschen. Nichts gegen Corporate Chains, sie sind natürlich effizienter, aber dann sollte man auch keine Pseudo-Dezentralisierung vortäuschen, wahrscheinlich nur um einer harten Regulierung / KYC / AML aus dem Weg zu gehen.
Der Rollback war hier wahrscheinlich ein sinnvoller Weg, vorausgesetzt Binance entschädigt legitime User, die durch diesen Geld verloren haben, weil ihre Transaktion auch zurückgesetzt wurde, ansonsten verlieren sie jegliche Glaubwürdigkeit.
// Leicht Off-Topic
Wo KYC mündet, sieht man heute an Celsius, die im Zuge ihrer Insolvenz 14 Tausend Seiten Gerichtsakten veröffentlicht haben, inklusive aller Kunden Realnamen und deren jeweiliger Transaktionen. Das Dokument ist knapp 300MB groß und dürfte für ziemliche Aufregung sorgen, denn Crypto-Adressen sind zwar nicht aufgeführt, aber zu jeder einzelnen Transaktion der exakte Betrag und das Datum, welche einfach auf der jeweiligen Blockchain auffindbar sein sollten. Nicht, dass z.B. Monero dagegen gewappnet wäre, aber Account-basierte Chains sind hier extrem betroffen, denn jeder potenzielle Angreifer kann einfach einsehen, welche Balance sein potenzielles Opfer im Wallet hat.
Kostprobe (ohne persönliche Daten, nur eine Liste von Beispieltransaktionen von Firmen, keinen Privatkunden):
https://imgur.com/a/K4vLNf4
Wer kurz vor Schluss noch bei Celsius aktiv war, sollte überprüfen, ob er in der Veröffentlichung gedoxxt wurde und sich ggf. geeignete Schritte überlegen.
Du erwartest doch nicht ernsthaft, dass man dich für voll nimmt, wenn du noch nicht mal den Namen deines Lieblings-Betrugsystems richtig schreiben kannst?
Das ist ein Troll-Account.