8月2日7时,加密KOL@0xfoobar发推称,跨链互操作性协议Nomad桥正在被黑客攻击,WETH和WBTC正以每次百万美元的频次转出,合约中仍有1.26亿美元可能存在风险。提醒用户尽快提取资金。最近的一次就有1万枚以太坊转出,Nomad桥还有8000万美元的USDC正在流出。
Nomad官方团队称,已知晓涉及Nomad代币桥的事件,目前正在调查中。受该事件影响,Moonbeam称:Moonbeam网络已进入维护模式,以调查网络上部署的智能合约的安全事件。在此期间,功能将受到限制,用户将无法执行常规用户交易和智能合约交互。治理、质押、取消暂停和升级的能力将继续有效。
金色午报 | 12月18日午间重要动态一览:7:00-12:00关键词:美国财政部、俄罗斯议员、灰度、Warp Finance
1.美国财政部即将出台新的自托管加密钱包交易报告规则;
2.俄罗斯议员试图通过新法案将电子支付和加密货币进一步分离;
3.灰度明年将推出新的加密货币商业广告;
4.莱特币挖矿难度较6周前上升34%;
5.持有至少百万美元钱包本周增至66,540 增长了150%;
6.以太坊2.0质押流动性解决方案Lido上线治理工具Lido DAO;
7.DeFi协议Warp Finance遭遇闪电贷攻击约800万美元被盗;
8.分析:Warp Finance攻击者通过闪电贷铸造LP代币清算其USDC和DAI金库;
9.英国FCA现仅通过4家加密公司注册 100多家注册申请被通知评估无法按时完成。[2020/12/18 15:40:02]
截至目前,据defillama数据显示,NomadTVL中超过1.9亿美元的加密货币在几小时内被撤出,钱包中目前仅剩5336美元。Terra研究员FatMan评论此次攻击事件称,这是以真正的加密方式——第一次去中心化的抢劫。
金色财经合约行情播报 | BTC放量震荡上测,7800美元多空博弈加剧:据火币BTC永续合约行情显示,截至今日16:00(GMT+8),BTC价格暂报7703美元(+2.01%),20:00(GMT+8)结算资金费率为-0.014470%。
昨日至今,BTC走出震荡上升的走势,低点逐渐抬高,向上测试7800美元阻力位,目前在7800下方盘整。根据火币交割合约数据,BTC季度合约成交量大幅上升,持仓量也出现一定幅度上升,季度合约保持小幅贴水。在比特币面临关键压力位时期,多空博弈激烈程度加剧,成交活跃,市场情绪出现躁动,投资者需注意控制风险。
USDT于火币全球站OTC的报价为7.13元,溢价率为0.65%。USDT溢价继续保持在低水平。[2020/4/27]
金色晨讯 | G7财长会议:支持各国开征收数字税 FB无权创建货币 Libra测试网进行了第二次重置:1.G7财长会议:支持各国开征收数字税 FB无权创建货币。
2.美国财政部长:将对比特币等加密货币实施非常严格的监管。
3.7月18日Libra测试网进行了第二次重置。
4.G7会议草案概要:稳定币必须符合最高标准的金融监管要求,必须解决监管鸿沟问题。
5.伊朗信息和通信技术部长:伊朗法律并未禁止加密挖矿业务。
6.比特币财产侵权纠纷案在杭州开庭宣判 法院确认比特币“虚拟财产”属性。
7.V神:中继注册燃烧机制是以太坊在隐私解决方面的关键一步。
8.日本或将成立一个类似SWIFT的国际性的数字币支付网络。
9.美国国税局正对未正确申报虚拟货币交易收入的人采取行动。[2019/7/19]
对此,投资机构Paradigm研究员@samczsun试图还原黑客攻击的全过程:
金色财经现场报道 韩国Money Today核心战略部部长:应精准判断区块链项目价值:金色财经现场报道,在2018全球区块链精英峰会上,进行以《从媒体角度看区块链行业发展趋势》为题的圆桌谈论,韩国Money Today核心战略部部长指出:区块链是一个新兴产业,混乱局面在产业的初期将一直持续。区块链是互联网2.0,其特点是多中心化。在区块链的全球化过程中,由于每个国家的反应和本身环境不同,也会导致行业乱象的发生。我曾在过去的一两年时间里采访过来自各国的区块链项目创始人,他们有三个共同点:都在强调自己的产品是独一无二的、自己的区块链项目一定会成功、虚拟货币泡沫一定会破灭。但我个人认为区块链技术未来有很大的发展前景,但区块链市场在成长的过程中,会淘汰掉很多项目;其次,区块链相关的项目是否有价值,需要进行精准判断。如果我们能找到真正有价值的企业,那么我们是可以度过艰难的阶段。[2018/4/28]
1,一切都开始于@officer_cia分享@spreekawayETHSecurityTelegram频道的推文。尽管当时并不知道发生了什么事,但从桥上撤离的大量资产来看显然是一个不好的信号。
3,然而,在Moonbeam网络上进行了一些手动挖掘之后,确认虽然Moonbeam交易确实桥接了0.01WBTC,但以太坊交易以某种方式桥接了100WBTC。
5,在这一点上,有两种可能性。要么是在较早的区块中单独提交了证明,要么是Replica合约存在严重错误。但是,绝对没有迹象表明最近有任何事情被证明。
6,这只剩下一种可能性——副本合约存在致命缺陷。但是怎么做?快速浏览表明提交的消息必须属于可接受的根。否则,第185行的检查将失败。
7,幸运的是,有一种简单的方法可以检查这个假设。知道没有被证明的消息的根是0x00,因为messages将未初始化。接下来所要做的就是检查合同是否会接受它作为根。
8,事实证明,在例行升级期间,Nomad团队将可信根初始化为0x00。需要明确的是,使用零值作为初始化值是一种常见的做法。不幸的是,在这种情况下,它具有自动验证每条消息的微小副作用。
9,这就是黑客如此混乱的原因——你不需要了解Solidity或MerkleTrees或类似的东西。你所要做的就是找到一个有效的交易,用你的地址找到/替换对方的地址,然后重新广播它。
10,例行升级将零哈希标记为有效根,这具有允许在Nomad上消息的效果。攻击者滥用它来复制/粘贴交易,并在疯狂的混战中迅速耗尽了桥。
A16z应用安全成员MattGleason发推介绍了Nomad被攻击的原因:
Nomad桥以与Qubit的QBridge类似的方式获得。桥的不安全配置导致特定路径允许发送任何事务。错误出现在Replica的“进程”函数中。
Process旨在确保消息已被证明,然后处理该消息,这通常应该没问题。
它使用acceptableRoot来执行此操作,它将检查根是否已被证明或在当前时间之前已被确认。
出现这个问题是因为在solidity中,如果一个映射键在此之前没有被看到,那么它将默认为零,从而导致尝试确认根值为零。但是,由于它们初始化时使用的是0的confirmedRoot,这意味着零在技术上是一个已确认的根。
因此,系统会接受任何以前从未见过的消息,并将其当作真实消息来处理,这意味着你所需要做的就是要求所有的桥的钱,你就会得到它。
Paradigm工程师@ParadigmEng420发推提醒用户如果在Nomad、Evmos、Moonbeam、Milkomeda有任何资金,需要交换出游牧资产,并使用不同的跨链桥,尽快回到以太坊或另一个链。他还指出,Nomad暂停了中继器,并试图使用观察者审查所有桥接交易,但是,这可能没什么帮助,因为漏洞利用是在合同方面而不是在基础设施方面。
来源:金色财经
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。