VEX:速评:连黑客技术都没用到 Nomad 就「倒下」了_FRAG币

跨链桥Nomad近2亿美元TVL被几乎全数盗走,EVMOS币价短时暴涨超1.5倍。

撰文:iambabywhale.eth

北京时间今日清晨,跨链互操作性协议Nomad桥遭到黑客攻击,攻击发生期间WETH和WBTC以每次百万美元的速度被持续转出。据DefiLlama数据显示,Nomad上近2亿美元的TVL在短时间内被攻击者「掏空」,截止发文时仅剩不到4000美元。

a16zcrypto应用安全团队成员MattGleason及Paradigm研究合伙人兼安全主管Samczsun在第一时间发推解释了本次攻击利用的漏洞。以下分析节选自二者的观点:

美国商会抨击SEC“随意”的监管工作:金色财经报道,美国商会抨击SEC在美国本土监管加密货币行业的“随意、基于执法的方法”。在5月9日提交给美国上诉法院的一份法庭之友简报中,美国商会全力支持Coinbase,指责美国证券交易委员会故意为在美国运营的加密公司创造一个不稳定和不确定的环境。它写道:“美国证券交易委员会声称对数字资产拥有全面的权力,同时部署了一种随意的、基于执法的方法,从而故意混淆了水域。”并表示“这种监管混乱是有意设计的,而不是偶然的。”[2023/5/12 14:58:59]

Nomad此次被攻击是由于跨链桥的配置导致可以通过特定路径发送任何事务,错误在于Replica内部的「process」功能。出问题的「process」功能被设计为保证信息被证明,然后处理信息,通常情况下这个过程没有问题。

Evmos发布2023年路线图,含EVM扩展、EvmosSDK和dApp商店等内容:2月2日消息,Cosmos生态EVM兼容链Evmos发文《The Evmos Manifesto》,提出2023年路线图,包括EVM扩展、Evmos SDK和dApp商店这三个关键部分。

其中,EVM扩展将允许开发人员连接Cosmos生态系统中的其他智能合约和应用链,并能够对IBC模块进行智能合约调用,以与其他链进行通信、发送和接收资产;Evmos SDK将允许区块链开发人员创建针对特定用例量身定制的特定于应用程序的链或EVM链,从而更容易定制和启动新的EVM链;dApp商店则旨在作为人们发现和利用基于Evmos构建的独特Web 3应用程序的一站式接入点。(Medium)[2023/2/2 11:42:46]

欧盟委员会已选择IOTA基金会进行欧洲区块链预商业采购:金色财经报道,CO News发推特表示,欧盟委员会已选择 IOTA 基金会进行下一阶段的欧洲区块链预商业采购(PCP)。[2023/1/27 11:32:32]

该过程会使用「acceptableRoot」用来检查root是否被证明或者在当前时间之前已被确认。问题存在于Solidity语言中,如果一个map的映射键未找到会返回默认值0,则「acceptableRoot」的参数「_root」将会是0。

然而,由于合约初始状态下「_confirmedRoot」为0,使得0就是一个已被确认的值「acceptableRoot」接收一个0值就能通过验证。

结果,黑客正是利用该漏洞,找一笔有效交易反复发送构造好的交易数据抽取跨链桥被锁定的资金,从而导致Nomad上锁定的资金被几乎全数盗走。

受Nomad跨链桥被攻击的影响,Moonbeam代币GLMR短时下跌近10%,Evmos代币EVMOS上涨超150%。发生该情况或是由于Moonbeam暂时关闭EVM功能,以及Nomad作为Evmos与以太坊生态的主要跨链桥,被盗资金需要通过EVMOS作为出金渠道所致。

Evmos官方发推称,目前正在与Nomad团队密切合作,并会在获得更多信息后更新进展,当下Evmos链运行正常。由于Nomad已暂停,因此用户无法将他们的ERC20封装资产从Evmos撤回到以太坊,团队会及时通知这对Evmos用户和拥有Nomad封装资产的用户有何影响。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

区块博客

[0:15ms0-8:9ms