以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > DYDX > Info

MAD:超1.5億美元損失,跨鏈橋協議Nomad黑客攻擊事件分析

Author:

Time:1900/1/1 0:00:00

8月2日,跨鏈橋協議Nomad遭遇攻擊,超過1.5億美元的用戶資金被黑客轉移,Paradigm合伙人samczsun對此安全事件進行了分析。Nomad剛剛在遭受Web3有史以來最混亂的一次黑客攻擊中損失了1.5億美元。那這到底是如何發生的,其根本原因是什么?請允許我帶你們到這次攻擊事件的幕后。

這一切都始于@officer_cia在ETHSecurity電報群頻道中分享的@spreekaway推文,雖然我當時不知道發生了什么,但離開Nomad跨鏈橋的資產數量顯然不是一個好的跡象。

北京市內新建、擴建數據中心若PUE值超1.4將被征收差別電價電費:8月29日消息,隨著人工智能、5G、物聯網、區塊鏈等技術的發展,全球算力需求從2018年到2030年將實現上百倍的爆增。到2023年,中國大數據中心總用電量將達2667億千瓦時,相當于2.6個三峽電站的總發電量。目前北京等多地已出臺數據中心項目節能審查政策,進一步限定PUE值(評價數據中心能源效率指標)與數據中心規模,新政規定北京市內新建、擴建數據中心若PUE值超1.4將被征收差別電價電費。(北京日報)[2021/8/29 22:44:54]

24小時合約市場爆倉超1.13億美元 BTC合約爆倉8860萬美元:據合約帝行情統計報告顯示:過去24小時合約市場全網總計爆倉1.13億美元,爆倉人數10419人。其中,Huobi爆倉3635萬美元,OKEx爆倉1332萬美元,BitMEX爆倉880萬美元,Binance爆倉3122萬美元,Bybit爆倉2351萬美元。爆倉金額前三的幣種是BTC8860萬美元,ETH1592萬美元,BCH445萬美元。[2020/11/9 12:06:59]

我的第一個想法是代幣的小數點有一些配置錯誤。畢竟,這座跨鏈橋似乎在進行“發送0.01WBTC,返還100WBTC”的促銷活動。

行情 | BTC在一小時內上漲超1.5% 突破8400美元:據火幣全球站數據顯示,BTC在一小時內上漲超1.5%,現已突破8400美元,最高漲至8410.08美元,行情波動較大,請注意風險控制。[2020/1/24]

然而,在Moonbeam網絡上進行了一些痛苦的手動挖掘工作之后,我確認Moonbeam交易確實跨鏈出了0.01WBTC,但不知何故,以太坊交易跨鏈出的資產是100WBTC。https://moonscan.io/tx/0xcca9299c739a1b538150af007a34aba516b6dade1965e80198be021e3166fe4chttps://etherscan.io/tx/0xa5fe9d044e4f3e5aa5bc4c0709333cd2190cba0f4e7f16bcf73f49f83e4a5460

動態 | 數字貨幣市場整體上漲?24小時合約市場爆倉超1.47億美金:據合約帝行情統計報告顯示:過去24小時全網總計爆倉1.47億美元。其中Huobi 爆倉2405萬美元,OKEx爆倉1857萬美元,Binance爆倉5247萬美元,BitMEX爆倉5242萬美元。爆倉金額前三的幣種是BTC1.33億美元,BCH511萬美元,ETH397萬美元。[2020/1/7]

此外,WBTC跨鏈交易實際上并沒有證明什么。它只是直接調用了`process`,可以說,能夠在不首先證明的情況下處理消息是非常不好的

這個時候,有兩種可能性,要么是在較早的區塊中單獨提交了證明,要么是Replica合約存在嚴重的漏洞。但是,絕對沒有跡象表明最近有任何事已被證明。

那只剩下了一種可能性,Replica合約中存在著致命漏洞。那到底是怎么回事呢?快速查看后表明,提交的消息必須屬于可接受的根,否則,第185行的檢查將會失敗。

幸運的是,有一種簡單的方法可以檢查這個假設。我知道未經證明的消息根將是0x00,因為消息將未初始化。我所要做的就是檢查合約是否會接受這一點。

哎……

事實證明,在例行升級期間,Nomad團隊將可信根初始化為0x00。需要明確的是,使用零值作為初始化值是一種常見的做法。不幸的是,在這種情況下,它有一個很小的副作用,即自動驗證每個消息。

這就是黑客行為如此混亂的原因,你不需要了解Solidity或Merkle樹之類的東西,你所要做的就是找到一筆有效的交易,用你的地址查找/替換另一個人的地址,然后重新廣播它。總的來說,一次例行升級將零哈希標記為有效根,其效果是允許在Nomad上欺騙消息,攻擊者濫用此功能來復制/粘貼交易,并在一場瘋狂的混戰中迅速耗干了這座跨鏈橋的資金。譯者注:此次Nomad跨鏈橋的黑客攻擊,Moonbeam和evmos這兩條公鏈的用戶會受到較大影響,其中,Moonbeam涉及的跨鏈資金相對較大。這次事件再次提醒了我們跨鏈橋的風險,用戶在使用跨鏈橋后,應盡量避免持有跨鏈資產,而應盡快兌換成區塊鏈的原生資產,并且以太坊主鏈的原生資產安全性要高于其他鏈。

Tags:BTCMADOMANOMWBTCMADAMoma Protocolnomc幣價格

DYDX
QUO:深度解析DID:零知識證明的第一個應用試驗場

DID和社交網絡中的零知識證明首先解釋一下文中會使用到的詞語的含義:去中心化身份(DID)或個人主權身份(SSI):是一個基于開放標準的框架,它使用個人擁有的、獨立的、可驗證的憑證.

1900/1/1 0:00:00
MOV:一文看懂新公鏈都在用的Move編程語言,究竟有何優勢?

隨著Aptos、Sui這些超新公鏈的關注度提升,這些公鏈使用的Move編程語言也愈發吃香。社交媒體有人透露,現在Move語言的開發者時薪已經高達1200美元.

1900/1/1 0:00:00
STARK:StarkNet首個鏈上身份產品「Starknet.id」注冊指南

Starknet.id是StarkNet上第一個鏈上身份產品,通過免費鑄造NFT,將Twitter、Discord、Github等身份信息和StarkNet上的地址相綁定.

1900/1/1 0:00:00
QUO:DeFi「新敘事」?一文盤點擁有真實收益的DeFi協議

DeFi正在醞釀一個熱門的新敘事,它被稱為“真實收益”,協議根據創收情況向用戶支付收益。于是,我在這個不斷增長的行業中挑選了幾個項目,看看它們如何成為下一個周期的支柱.

1900/1/1 0:00:00
ASH:資深加密律師:Tornado Cash被制裁后新的監管挑戰即將到來?

前不久,美國財政部外國資產控制辦公室宣布制裁混幣協議TornadoCash,該平臺已被加密貨幣領域的許多網絡犯罪分子、不法黑客組織用來清洗和混淆他們的非法資金來源.

1900/1/1 0:00:00
AMP:黑幕被曝:Avalanche惡性競爭丑聞始末

8月26日,CryptoLeaks長文爆料了一起關于AvaLabs的“驚天大瓜”。 CryptoLeaks稱,數年前AvaLabs曾和一家名為RocheFreedman的美國律師事務所達成一項秘.

1900/1/1 0:00:00
ads