BONE:速評：連黑客技術都沒用到 Nomad 就「倒下」了_OMA

撰文：iambabywhale.eth

北京時間今日（8 月 2 日）清晨，跨鏈互操作性協議 Nomad 橋遭到黑客攻擊，攻擊發生期間 WETH 和 WBTC 以每次百萬美元的速度被持續轉出。據 DefiLlama 數據顯示，Nomad 上近 2 億美元的 TVL 在短時間內被攻擊者「掏空」，截止發文時僅剩不到 4000 美元。

a16z crypto 應用安全團隊成員 Matt Gleason 及 Paradigm 研究合伙人兼安全主管 Samczsun 在第一時間發推解釋了本次攻擊利用的漏洞。以下分析節選自二者的觀點：

知情人士：Huobi將繼續裁員約40%，部分員工變相降薪:12月30日消息，知情人士表示，Huobi將于2023年繼續裁員，裁員規模預計達40%。目前，Huobi總員工人數約為1600人。同時，部分Huobi員工將重新簽署合同、重新計算工齡，并取消五險一金補貼發放。[2022/12/30 22:17:12]

Nomad 此次被攻擊是由于跨鏈橋的配置導致可以通過特定路徑發送任何事務，錯誤在于 Replica 內部的「process」功能。出問題的「process」功能被設計為保證信息被證明，然后處理信息，通常情況下這個過程沒有問題。

波斯海航運公司將進行代幣預售融資:金色財經報道，全球航運物流公司波斯海航運公司正通過其即將進行的代幣預售進入加密貨幣行業。該團隊與SolidProof合作，預售操作將于2月1日開放，并將在Unicrypt平臺上提供。為國際勞工組織本輪預留了2500萬個代幣，另外1300萬代幣將幫助團隊資助其營銷策略，剩下的代幣將用于咨詢委員會（200萬）、生態系統獎勵（500萬）和團隊（500萬）。[2022/12/28 22:12:57]

ShibaSwap宣布已停止BONE鑄造:9月10日消息，DEX ShibaSwap發推稱，由于Shiba Inu生態系統治理代幣BONE的供應量達2.3億枚，BONE鑄造已經正式停止。剩余約2000萬枚BONE指定留給Shibarium驗證者。BONE最大供應量為2.5億枚。

據此前報道，根據DOGGY DAO：BONE Farms的提案，在已鑄造的BONE代幣量達到2.3億枚時，停止所有BONE挖礦，以便為Shibarium驗證者保留剩余的2000萬BONE代幣獎勵。據悉，BONE的總供應量上限為2.5億枚。[2022/9/10 13:21:25]

該過程會使用「acceptableRoot」用來檢查 root 是否被證明或者在當前時間之前已被確認。問題存在于 Solidity 語言中，如果一個 map 的映射鍵未找到會返回默認值 0，則「acceptableRoot」的參數 「_root 」將會是 0。

然而，由于合約初始狀態下「_confirmedRoot」為 0，使得 0 就是一個已被確認的值（注：confirmAt = 1;）「acceptableRoot」接收一個 0 值就能通過驗證。

結果，黑客正是利用該漏洞，找一筆有效交易反復發送構造好的交易數據抽取跨鏈橋被鎖定的資金，從而導致 Nomad 上鎖定的資金被幾乎全數盜走。

受 Nomad 跨鏈橋被攻擊的影響，Moonbeam 代幣 GLMR 短時下跌近 10%，Evmos 代幣 EVMOS 上漲超 150%。發生該情況或是由于 Moonbeam 暫時關閉 EVM 功能，以及 Nomad 作為 Evmos 與以太坊生態的主要跨鏈橋，被盜資金需要通過 EVMOS 作為出金渠道所致。

Evmos 官方發推稱，目前正在與 Nomad 團隊密切合作，并會在獲得更多信息后更新進展，當下 Evmos 鏈運行正常。由于 Nomad 已暫停，因此用戶無法將他們的 ERC20 封裝資產從 Evmos 撤回到以太坊，團隊會及時通知這對 Evmos 用戶和擁有 Nomad 封裝資產的用戶有何影響。

Tags：BONEBONONEOMABONES幣BonfidaHubrisOne XSKOOMA

幣安app官網下載