区块见闻 区块见闻
Ctrl+D收藏区块见闻

OMA:Nomad跨链桥遭遇黑客被盗损失数亿美元 行业最强白帽解析漏洞!_GOMA Finance

作者:

时间:

Nomad事件今天霸屏币圈,短短几个小时被黑上亿美元。而且Nomad在受到攻击之后,TVL也在几个小时内撤出了将近2亿美元。

在之前的区块链项目被黑的事件中,曾有用户用AnySwap跨链被黑十几万,通过对漏洞的追踪,最终发现在AnySwap下,黑客可以利用随机数种子反推出用户的私钥来达到盗取用户资产的目的。

AnySwap这种破解私钥的技术可能需要一定的技术门槛,但是这次Nomad漏洞是为数不多的,即便是普通人不懂技术和代码也有机会可以实现的攻击,所以事件才会发酵如此之快。此次事件也受到业内白帽的关注。

阿联酋签署协议在Venom基金会区块链上开发碳信用系统:金色财经报道,阿拉伯联合酋长国(UAE)气候变化与环境部(MCCE)正在与工业创新集团和 Venom 基金会建立初步合作伙伴关系,在Venom基金会区块链上开发碳信用体系。由于链上记录的数据具有不可变的性质,这些碳信用积分可以安全地出售或交易,并且对所有感兴趣的各方来说都是完全透明的。这允许政府组织(例如阿联酋的 MCCE)向企业出售或发放信贷。信用持有者可以使用信用(这允许他们在给定时间内排放特定数量的碳),也可以将其出售和交易给其他希望抵消自身排放的组织。[2023/8/8 21:30:29]

@samczsun是业内知名的白帽,相信大家都不陌生,在早年有一个项目漏洞,他本可以轻易将资金转走,但是他却花了整整一个通宵,几经转折联系到了项目方修补了这个漏洞,而此次他也对Nomad事件做了一个详细的分析。

Biconomy将于10月15日在CoinList平台上开启代币销售:10月7日消息,区块链开发工具提供商Biconomy将于北京时间10月15日凌晨1:00在CoinList平台上开启代币BICO销售。据CoinList网站公示,本次代币销售提供两种选项:1、每枚代币0.25美元,从今年11月23日左右开始分三个月线性释放;2、每枚代币0.15美元,在11月23左右解锁10%,6个月后,再按月度分6次释放。代币销售注册的截止时间为北京时间11月12日07:59。

此前报道,Biconomy已于今年完成两轮融资,分别为7月完成的由DACM和Mechanism Capital领投900万美元融资,以及1月完成的由EdenBlock领投150万美元种子轮融资。[2021/10/7 20:10:18]

我们不妨来一起来回顾一下此次被盗事件漏洞问题:

动态 | 区块链初创公司Genomes.io利用区块链技术存储DNA信息:据福布斯消息,位于伦敦的区块链初创公司Genomes.io目前专注于一项保护和生产DNA的项目,该项目将在完成测序之后,通过区块链技术安全地存储完整的基因组序列,制药和保险等行业将能够查询个人的DNA数据,并给予那些愿意分享其信息的人相应报酬。[2018/9/26]

从电报中@samczsun发现链上的资产在迅速的撤出,于是他去查询了链上具体的交易信息,发现了一些端倪。

当一个账户发出0.01个WBTC的时候会返回给100个WBTC,当然这不排除是某种促销活动,于是@samczsun继续进行一些链上跟踪后发现了问题,在Moonbeam上桥接的0.01个WBTC,不知是何原因以太坊却收到了100个。

通过查询合约代码@samczsun定位到了一个严重的问题。合约中有一个叫做process的方法,这个方法的作用是,首先它会验证信息确保收到的信息是被证明过的,如果信息没有问题就执行。正常来说这样的逻辑和过程是没有任何问题的,但是问题就在于这个验证。

Messages是一个Map,Map的结构是键值对的,如果在这个map里面没有找到对应的键,根据solidity的规则会返回一个默认值0,而这个键是从哪里来的?

我们可以从代码中看到,key是从process的参数message的字节码中解析出来的,也就是说键是从外部传入的,现在想要黑掉这个合约,我们的必要条件基本上都具备,关键验证信息从外部传入,这个是我们已经确认的,剩下的只要证明acceptableRoot如果能够接受0返回true,那就能把这个验证绕过。

@samczsun在区块链浏览器中调用了acceptableRoot这个方法,并把参数0传入,返回的结果正如大家所见到的是true,Nomad项目被黑的核心原因终于被找到。

黑客利用这个漏洞,找一笔有效的交易反复发送构造好的交易数据,来抽取跨链桥被锁定的资金,这也就是为什么网上说这次攻击普通人也能做到的原因,现在Nomad的资金已经基本上都空了。

对此次事件网上大家的看法也不一致,有人称第一笔转出是黑客所为,后面极有可能是散户捡钱,也有用户猜测是项目方看到情况已经失控,于是自导自演。

至于真相如何我们不得而知,此次的事件中损失最严重的是不久前刚给nomad投资的机构,受nomad跨链桥被攻击的影响,包括与nomad跨链桥相关的Moonbeam也受到不小的影响,但反而evmos因为Moonbeam暂时关闭的EVM功能,而Moonbeam作为evmos与以太坊生态的主要跨链桥,被盗的资金需要通过evmos作为出金渠道,反而迎来了一波不小的涨幅。

跨链桥被盗屡见不鲜,目前区块链技术还在非常早期的阶段,在早期的阶段虽然有着非常大的红利,但同时也伴随着巨大的风险,希望大家还是小心谨慎。

来源:金色财经

标签:NOM区块链NOMADOMAnomc币现在价格到底什么是区块链Nomad ExilesGOMA Finance

比特币交易所热门资讯
ALICE:8.6以太坊多头强势 若突破前高看上涨趋势至1900-2000关口_ALICE价格

币圈咨询 8月6日热点; 1.Ledger全球负责人:加密货币的未来取决于安全问题2.230名经济学家警告美国政府提议的通胀降低法案将助长通胀3.

MEV:以太坊合并遇到问题、开发者能解决吗?_BOO

随着以太坊合并日期越来越近,以太坊开发者近期召开会议,讨论了一些解决方案,以解决合并可能出现的潜在问题.

MEV:网络安全研究发现:P2E项目遭遇黑客攻击只是时间问题_BOOST

“边玩边赚”(P2E)市场已经成为Web3.0最大的利基市场之一。截至2022年7月初,P2E项目的市值为65亿美元,日交易量超过8.5亿美元.

MAD:小冯:BTC、ETH连续底部震荡调整后 多头还能翻身?_mad币种汇率

  比特币隔日整体波幅不大,先扬后抑后日线勉强报收小阳线,不过从日线整体走势来看的话,在经过一段长时间的低迷熊市后,六月触底18000下方后日线有震荡回暖的趋势,虽然这种趋势构不成转牛条件.

ETH:冷风说币:出现停跌信号 ETH带头冲锋 牛要回 2022.08.06_CPI

市场消息 8月5日,美国劳工部公布7月非农数据,新增就业总数和失业率均回到2020年2月欧美疫情爆发前的水平,新增就业52.8万人甚至较市场预期的25万翻倍.

POLO:波场Poloniex为行业首家支持ETH升级并上线潜在分叉币期货交易平台_ETHS

2022年8月4日,波场Poloniex发布公告,率先表示将支持本次ETH2.0升级及潜在分叉,并将于8月8日上线两种潜在分叉期货代币ETHS和ETHW及相关交易市场.