MAD:速评:连黑客技术都没用到 Nomad 就「倒下」了

跨链桥Nomad近2亿美元TVL被几乎全数盗走,EVMOS币价短时暴涨超1.5倍。

撰文:iambabywhale.eth

北京时间今日清晨,跨链互操作性协议Nomad桥遭到黑客攻击,攻击发生期间WETH和WBTC以每次百万美元的速度被持续转出。据DefiLlama数据显示,Nomad上近2亿美元的TVL在短时间内被攻击者「掏空」,截止发文时仅剩不到4000美元。

a16zcrypto应用安全团队成员MattGleason及Paradigm研究合伙人兼安全主管Samczsun在第一时间发推解释了本次攻击利用的漏洞。以下分析节选自二者的观点:

CertiK:Base Name Service basenameapp项目Discord服务器已被入侵:金色财经消息,据CertiK监测,Base Name Service @basenameapp 项目Discord服务器已被入侵。在团队确认他们重新获得服务器的控制权之前,不要点击任何链接。[2023/6/1 11:51:01]

Nomad此次被攻击是由于跨链桥的配置导致可以通过特定路径发送任何事务,错误在于Replica内部的「process」功能。出问题的「process」功能被设计为保证信息被证明,然后处理信息,通常情况下这个过程没有问题。

?英特尔中国区董事长:会与中国客户研究布局类ChatGPT算力模式:金色财经报道,英特尔全球高级副总裁、中国区董事长王锐表示,ChatGPT对英特尔中国也是好事情,下一步跟中国客户去共同研究如何去布局,“我们跟百度、阿里都有非常深的合作,下一步算力如何帮助我们建立新的模式都是值得期待的。”[2023/2/26 12:29:46]

迈阿密戴德县和迈阿密热火队终止FTX1.35亿美元的19年独家冠名权:11月12日消息,据外媒报道,美国佛罗里达州迈阿密戴德县和迈阿密热火队在FTX申请破产后几个小时发表了一份联合声明,宣布将立即采取行动终止与FTX的业务关系,并将为该球场寻找新的冠名权合作伙伴。FTX的标志已被从竞技场顶部拆除。

此前消息,双方签署价值1.35亿美元的19年独家冠名。迈阿密热火队主体育场也被命名为FTX Arena。(CoinDesk)[2022/11/12 12:55:16]

该过程会使用「acceptableRoot」用来检查root是否被证明或者在当前时间之前已被确认。问题存在于Solidity语言中,如果一个map的映射键未找到会返回默认值0,则「acceptableRoot」的参数「_root」将会是0。

数字欧元总持有量或保持在1万亿至1.5万亿欧元之间:6月15日消息,欧洲央行执委帕内塔(Fabio Panetta)表示,初步分析表明,将数字欧元总持有量保持在1万亿至1.5万亿欧元之间,将避免对金融体系和货币政策产生负面影响。这个数量与当前流通中的纸币持有量相当。由于欧元区的人口目前约为3.4亿,这将允许人均持有约3,000至4,000数字欧元。由中央银行发行并可供所有人使用的数字货币将为支付市场提供稳定的锚,保持迄今为止为我们服务的公共货币和私人货币的共存。[2022/6/15 4:29:46]

然而,由于合约初始状态下「_confirmedRoot」为0,使得0就是一个已被确认的值「acceptableRoot」接收一个0值就能通过验证。

结果,黑客正是利用该漏洞,找一笔有效交易反复发送构造好的交易数据抽取跨链桥被锁定的资金,从而导致Nomad上锁定的资金被几乎全数盗走。

受Nomad跨链桥被攻击的影响,Moonbeam代币GLMR短时下跌近10%,Evmos代币EVMOS上涨超150%。发生该情况或是由于Moonbeam暂时关闭EVM功能,以及Nomad作为Evmos与以太坊生态的主要跨链桥,被盗资金需要通过EVMOS作为出金渠道所致。

Evmos官方发推称,目前正在与Nomad团队密切合作,并会在获得更多信息后更新进展,当下Evmos链运行正常。由于Nomad已暂停,因此用户无法将他们的ERC20封装资产从Evmos撤回到以太坊,团队会及时通知这对Evmos用户和拥有Nomad封装资产的用户有何影响。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

地球链

[0:15ms0-0:951ms