区块见闻 区块见闻
Ctrl+D收藏区块见闻

NFT:金色观察|“首次去中心化抢劫”:还原Nomad被攻击始末_Modulus Domains Service

作者:

时间:

8月2日7时,加密KOL@0xfoobar发推称,跨链互操作性协议Nomad桥正在被黑客攻击,WETH和WBTC正以每次百万美元的频次转出,合约中仍有1.26亿美元可能存在风险。提醒用户尽快提取资金。最近的一次就有1万枚以太坊转出,Nomad桥还有8000万美元的USDC正在流出。

Nomad官方团队称,已知晓涉及Nomad代币桥的事件,目前正在调查中。受该事件影响,Moonbeam称:Moonbeam网络已进入维护模式,以调查网络上部署的智能合约的安全事件。在此期间,功能将受到限制,用户将无法执行常规用户交易和智能合约交互。治理、质押、取消暂停和升级的能力将继续有效。

金色午报 | 5月10日午间重要动态一览:7:00-12:00关键词:以太坊、亚马逊、数字人民币

1.以太坊站上4000美元,再创历史新高;

2.Terra 确认亚马逊将采用 UST 作为支付结算方式;

3.Rari Capital被盗2600枚ETH后发布补偿计划;

4.用友与“国能e购”实现电商采购平台数字人民币在线支付;

5.价值11861枚比特币的GBTC份额将于本周解锁;

6.支付宝已对部分用户新增数字人民币模块;

7.以太坊信标链更新Altair升级拟于三季度部署到信标链;

8.纽约市主计长候选人:纽约市应拿出养老基金的1-3%投资加密货币。[2021/5/10 21:43:00]

截至目前,据defillama数据显示,NomadTVL中超过1.9亿美元的加密货币在几小时内被撤出,钱包中目前仅剩5336美元。Terra研究员FatMan评论此次攻击事件称,这是以真正的加密方式——第一次去中心化的抢劫。

金色晚报 | 3月29日晚间重要动态一览:12:00-21:00关键词:Square、MOGO控股公司、FSCA、KILT Protocol

1. Square首席财务官:比特币投资占公司现金的5%

2. 4000枚BTC在未知地址间转移 价值约2.3亿美元

3. MOGO控股公司推出比特币返现抵押贷款

4. 乌克兰财政部长:加密货币有可能成为全球结算货币

5. 南非金融监管机构FSCA针对加密发出第二次警告

6. KILT Protocol赢得Rococo上第三个平行链插槽[2021/3/29 19:27:20]

金色晚报|7月4日晚间重要动态一览:12:00-21:00关键词:Voice、ETC、EOSfinex、Compound

Voice开始面向全球用户开放 目前中国地区用户仍不可使用;

ETC全网算力、难度双双下跌创近年新低;

比特币不会受美联储过度印钞影响 救助计划促使公众转向加密货币;

Compound中DAI数量超过DAI总量,符合银行对美元的处理方法;

加密技术作家:比特币仍是暗网犯罪分子首选支付方式;

分析师:预计ETH、XRP、LTC等将大幅反弹;

刘昌用:现阶段密码共识的制度创新没跟上,使技术沦为投机工具;

去中心化交易所平台EOSfinex将进行主网封闭Beta版测试。[2020/7/5]

对此,投资机构Paradigm研究员@samczsun试图还原黑客攻击的全过程:

金色晨讯 | 6月4日隔夜重要动态一览:21:00-7:00关键词:新冠肺炎、1300亿欧元、加密妈妈、灰度

1.全球新冠肺炎确诊病例累计超655万例。

2.CME比特币期货6月合约收涨0.78%。

3.德国通过1300亿欧元经济复苏计划。

4.美国商务部:本周五起对33家中国机构实行限制措施。

5.“加密妈妈”HesterPeirce已被提名在美国SEC的另一任期。

6.百度公共政策研究院:DC/EP是货币体系改革中的一个战略储备项。

7.社科院刘东民:《民法典》将促进中国数字货币和数字经济发展。

8.锁定在DeFi中的比特币数量创历史新高。

9.摩根溪联合创始人:灰度大约持有45万枚BTC。[2020/6/4]

1,一切都开始于@officer_cia分享@spreekawayETHSecurityTelegram频道的推文。尽管当时并不知道发生了什么事,但从桥上撤离的大量资产来看显然是一个不好的信号。

3,然而,在Moonbeam网络上进行了一些手动挖掘之后,确认虽然Moonbeam交易确实桥接了0.01WBTC,但以太坊交易以某种方式桥接了100WBTC。

5,在这一点上,有两种可能性。要么是在较早的区块中单独提交了证明,要么是Replica合约存在严重错误。但是,绝对没有迹象表明最近有任何事情被证明。

6,这只剩下一种可能性——副本合约存在致命缺陷。但是怎么做?快速浏览表明提交的消息必须属于可接受的根。否则,第185行的检查将失败。

7,幸运的是,有一种简单的方法可以检查这个假设。知道没有被证明的消息的根是0x00,因为messages将未初始化。接下来所要做的就是检查合同是否会接受它作为根。

8,事实证明,在例行升级期间,Nomad团队将可信根初始化为0x00。需要明确的是,使用零值作为初始化值是一种常见的做法。不幸的是,在这种情况下,它具有自动验证每条消息的微小副作用。

9,这就是黑客如此混乱的原因——你不需要了解Solidity或MerkleTrees或类似的东西。你所要做的就是找到一个有效的交易,用你的地址找到/替换对方的地址,然后重新广播它。

10,例行升级将零哈希标记为有效根,这具有允许在Nomad上消息的效果。攻击者滥用它来复制/粘贴交易,并在疯狂的混战中迅速耗尽了桥。

A16z应用安全成员MattGleason发推介绍了Nomad被攻击的原因:

Nomad桥以与Qubit的QBridge类似的方式获得。桥的不安全配置导致特定路径允许发送任何事务。错误出现在Replica的“进程”函数中。

Process旨在确保消息已被证明,然后处理该消息,这通常应该没问题。

它使用acceptableRoot来执行此操作,它将检查根是否已被证明或在当前时间之前已被确认。

出现这个问题是因为在solidity中,如果一个映射键在此之前没有被看到,那么它将默认为零,从而导致尝试确认根值为零。但是,由于它们初始化时使用的是0的confirmedRoot,这意味着零在技术上是一个已确认的根。

因此,系统会接受任何以前从未见过的消息,并将其当作真实消息来处理,这意味着你所需要做的就是要求所有的桥的钱,你就会得到它。

Paradigm工程师@ParadigmEng420发推提醒用户如果在Nomad、Evmos、Moonbeam、Milkomeda有任何资金,需要交换出游牧资产,并使用不同的跨链桥,尽快回到以太坊或另一个链。他还指出,Nomad暂停了中继器,并试图使用观察者审查所有桥接交易,但是,这可能没什么帮助,因为漏洞利用是在合同方面而不是在基础设施方面。

来源:金色财经

标签:NOMADOMANFT比特币Nomad ExilesModulus Domains ServiceMongol NFT比特币行情走势图最新分析

以太坊交易所热门资讯
ENT:什么是加密货币清算 为什么它们很重要?_Ganymede

在过去的几个月里,清算已经成为加密货币世界新闻周期的头条。本文将解释清算概念、为什么会发生清算,以及人们可以采取哪些措施来避免它们.

ONI:一文读懂NFT借贷3种解决方案:高度依赖预言机性能和市场稳定性_World Cup Willie

原文作者:KirillNaumov编译:BTXCapital导读:NFT借贷市场仍处于起步阶段,本文解析了NFT借贷市场中的点对点、点对多及CDP借贷三种类型的项目运作机制及优缺点.

NFT:刘毅谈 dYdX「叛逃」以太坊_polkadotted

全长930字,预计阅读3分钟作者:LouisLiu撰文:MiX微信交流:MixMetaverse6月23日,dYdX宣布将迁移到Cosmos生态,构建应用链.

应用链:“盘”数字藏品的年轻人 狂欢后离场_DYDX

“每天都会在数字藏品平台APP上浏览很久,发现心仪且价格合适的都会选择下手。”90后老叶不断翻阅着手机里的藏品,不时向身边朋友炫耀着自己的数字藏品宝贝.

APP:ETH 价格触及 1,600 美元的阻力位,但这并没有阻止期权交易者开设新的杠杆多头_ETH以太坊今日行情

市场分析 即使在最近确认9月份“以太坊合并”过渡到股权证明(PoS)共识网络之后,以太(ETH)在7天内仍下跌了11.5%.

KSY:zkSync社区更新 -2022年7月_zkSync

zkSync社区更新-2022年7月 原文链接: https://www.reddit.com/r/zkSync/comments/v1tha6/zksync_community_update_.