原文作者:Samczsun,Paradigm合伙人?
原文編譯:DeFi之道
8月2日,跨鏈橋協議Nomad遭遇攻擊,超過1.5億美元的用戶資金被黑客轉移,Paradigm合伙人?samczsun?對此安全事件進行了分析。
Nomad剛剛在遭受Web3有史以來最混亂的一次黑客攻擊中損失了1.5億美元。那這到底是如何發生的,其根本原因是什么?請允許我帶你們到這次攻擊事件的幕后。
這一切都始于@officer_cia在ETHSecurity電報群頻道中分享的@spreekaway推文,雖然我當時不知道發生了什么,但離開Nomad跨鏈橋的資產數量顯然不是一個好的跡象。
Paxos新鑄造超1.28億枚USDP:3月3日消息,據 Whale Alert 監測數據顯示,Paxos Treasury 于今日 16:59:47 在以太坊網絡上鑄造 128,596,461.86 枚 USDP,約合 1.284 億美元。
交易哈希為:0xf4387112a74ca1adc146b363f55788700641021b1eda21f8f644f8bf8852802c。[2023/3/3 12:40:51]
我的第一個想法是代幣的小數點有一些配置錯誤。畢竟,這座跨鏈橋似乎在進行“發送0.01WBTC,返還100WBTC”的促銷活動。
今晨BTC再度破萬,BitMEX上買入清算超1.33億美元:BTC今日早間暴力拉升,再度破萬,從9440美元躍升至3.5個月高位10357美元。
根據數據分析公司Skew的說法,此次價格上漲引發了BitMEX上價值超過1.33億美元的買入清算,這是自10月26日以來的最高水平。(CoinDesk)[2020/6/2]
然而,在Moonbeam網絡上進行了一些痛苦的手動挖掘工作之后,我確認Moonbeam交易確實跨鏈出了0.01WBTC,但不知何故,以太坊交易跨鏈出的資產是100WBTC。
行情 | 比特幣期貨連漲三天 本周漲超1.4%:CME比特幣期貨BTC 9月合約收漲逾1.17%,報6480美元,本周累漲約1.41%,據統計,6月29日以5865美元創前月合約收盤紀錄最低。CBOE比特幣期貨XBT 9月合約收漲超1.37%,報6472.50美元,本周累漲約1.49%。[2018/8/18]
https://moonscan.io/tx/0xcca9299c739a1b538150af007a34aba516b6dade1965e80198be021e3166fe4c
https://etherscan.io/tx/0xa5fe9d044e4f3e5aa5bc4c0709333cd2190cba0f4e7f16bcf73f49f83e4a5460
此外,WBTC跨鏈交易實際上并沒有證明什么。它只是直接調用了?`process`,可以說,能夠在不首先證明的情況下處理消息是非常不好的
這個時候,有兩種可能性,要么是在較早的區塊中單獨提交了證明,要么是Replica合約存在嚴重的漏洞。但是,絕對沒有跡象表明最近有任何事已被證明。
那只剩下了一種可能性,Replica合約中存在著致命漏洞。那到底是怎么回事呢?快速查看后表明,提交的消息必須屬于可接受的根,否則,第185行的檢查將會失敗。
幸運的是,有一種簡單的方法可以檢查這個假設。我知道未經證明的消息根將是?0x00,因為消息??將未初始化。我所要做的就是檢查合約是否會接受這一點。
哎……
事實證明,在例行升級期間,Nomad團隊將可信根初始化為?0x00。需要明確的是,使用零值作為初始化值是一種常見的做法。不幸的是,在這種情況下,它有一個很小的副作用,即自動驗證每個消息。
這就是黑客行為如此混亂的原因,你不需要了解Solidity或Merkle樹之類的東西,你所要做的就是找到一筆有效的交易,用你的地址查找/替換另一個人的地址,然后重新廣播它。
總的來說,一次例行升級將零哈希標記為有效根,其效果是允許在Nomad上欺騙消息,攻擊者濫用此功能來復制/粘貼交易,并在一場瘋狂的混戰中迅速耗干了這座跨鏈橋的資金。
譯者注:此次Nomad?跨鏈橋的黑客攻擊,Moonbeam和evmos這兩條公鏈的用戶會受到較大影響,其中,Moonbeam涉及的跨鏈資金相對較大。這次事件再次提醒了我們跨鏈橋的風險,用戶在使用跨鏈橋后,應盡量避免持有跨鏈資產,而應盡快兌換成區塊鏈的原生資產,并且以太坊主鏈的原生資產安全性要高于其他鏈。
Tags:BTCNOMADNOMOMAIBTCV價格Neonomad Financebiconomy幣前景MangoMan Intelligent
8月2日,Aave的開發負責人MarcZeller在Aave論壇發布一項新提案:建議凍結AaveV3的Fantom市場資產。屆時,用戶可以償還債務和提取資產,但無法在該市場上進行存款和借款.
1900/1/1 0:00:00市場消息 據CoinShares周報數據,上周數字資產投資產品凈流入8100萬美元,7月是今年迄今為止最強勁的月度資金流入,總計4.74億美元,幾乎糾正了6月份總計4.81億美元的所有流出.
1900/1/1 0:00:00為能幫助Gate.io實盤跟單的交易員有更多更好的展示機會,即日起開展曝光作戰計劃。本次計劃旨在幫助優秀的、有潛力的新秀交易員,為這部分交易員提供曝光的資源,吸引更多用戶參與跟單.
1900/1/1 0:00:00大家好,我是幣圈老呂。接上篇,先來回顧上一篇文章思路,我們一共發布了兩篇文章強調了雙幣種去看漲,以太坊分別在7月29號開始,分別三次抵達了三次抵達了1680美元的支撐位,而且都最少是漲到了175.
1900/1/1 0:00:00概述 親愛的用戶,為了能更加充分為用戶提供安全的交易環境,我們在此發動全球頂級技術社區的力量最大限度的加強www.kucoin.com的安全系統.
1900/1/1 0:00:008月3日消息,Solana錢包Phantom疑似遭遇黑客攻擊,多名用戶報告稱其資金在不知情的情況下被耗盡.
1900/1/1 0:00:00