以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads

NOMAD:Nomad跨鏈橋遭遇黑客被盜損失數億美元 行業最強白帽解析漏洞!

Author:

Time:1900/1/1 0:00:00

Nomad事件今天霸屏幣圈,短短幾個小時被黑上億美元。而且Nomad在受到攻擊之后,TVL也在幾個小時內撤出了將近2億美元。

在之前的區塊鏈項目被黑的事件中,曾有用戶用AnySwap跨鏈被黑十幾萬,通過對漏洞的追蹤,最終發現在AnySwap下,黑客可以利用隨機數種子反推出用戶的私鑰來達到盜取用戶資產的目的。

AnySwap這種破解私鑰的技術可能需要一定的技術門檻,但是這次Nomad漏洞是為數不多的,即便是普通人不懂技術和代碼也有機會可以實現的攻擊,所以事件才會發酵如此之快。此次事件也受到業內白帽的關注。

加拿大央行:加拿大人使用CBDC的“動力較弱”:金色財經報道,加拿大央行的一份新論文稱,典型的加拿大人沒有理由采用央行發行的數字貨幣,這可能會導致其采用出現問題。在8月10日發布的這份員工討論文件中,該行發現大多數消費者使用數字貨幣的 \"動力不足\",因為加拿大人在使用銀行賬戶或借記卡和信用卡等金融服務方面并不面臨重大障礙。該文件稱,98%的加拿大成年人擁有銀行賬戶,87%的人擁有信用卡,90%的農村和城市家庭能夠使用高質量的互聯網。[2023/8/11 16:20:11]

@samczsun是業內知名的白帽,相信大家都不陌生,在早年有一個項目漏洞,他本可以輕易將資金轉走,但是他卻花了整整一個通宵,幾經轉折聯系到了項目方修補了這個漏洞,而此次他也對Nomad事件做了一個詳細的分析。

Sei主網將包括SEI空投和激勵性測試網獎勵:金色財經報道,Sei基金會官方發文表示,主網將包括SEI空投和激勵性測試網獎勵。首次代幣分發旨在識別忠誠度,并加強Sei區塊鏈作為Web3應用程序構建的最佳目的地的全球影響。Sei基金會的任務是從一開始就支持Sei區塊鏈的去中心化。

金色財經此前報道,8月1日,Sei官方發布代幣經濟模型,SEI代幣總量100億枚,其中48%將分配給生態儲備資金,20%將分配給私募投資者,20%將分配給團隊,9%將分配給基金會,3%將作為BinanceLaunchpool獎勵[2023/8/11 16:19:33]

我們不妨來一起來回顧一下此次被盜事件漏洞問題:

Questify項目Discord服務器遭入侵:金色財經消息,據CertiK監測,Questify項目Discord服務器遭入侵,有黑客發布釣魚鏈接。請用戶勿與鏈接交互。[2023/6/11 21:29:18]

從電報中@samczsun發現鏈上的資產在迅速的撤出,于是他去查詢了鏈上具體的交易信息,發現了一些端倪。

當一個賬戶發出0.01個WBTC的時候會返回給100個WBTC,當然這不排除是某種促銷活動,于是@samczsun繼續進行一些鏈上跟蹤后發現了問題,在Moonbeam上橋接的0.01個WBTC,不知是何原因以太坊卻收到了100個。

通過查詢合約代碼@samczsun定位到了一個嚴重的問題。合約中有一個叫做process的方法,這個方法的作用是,首先它會驗證信息確保收到的信息是被證明過的,如果信息沒有問題就執行。正常來說這樣的邏輯和過程是沒有任何問題的,但是問題就在于這個驗證。

Messages是一個Map,Map的結構是鍵值對的,如果在這個map里面沒有找到對應的鍵,根據solidity的規則會返回一個默認值0,而這個鍵是從哪里來的?

我們可以從代碼中看到,key是從process的參數message的字節碼中解析出來的,也就是說鍵是從外部傳入的,現在想要黑掉這個合約,我們的必要條件基本上都具備,關鍵驗證信息從外部傳入,這個是我們已經確認的,剩下的只要證明acceptableRoot如果能夠接受0返回true,那就能把這個驗證繞過。

@samczsun在區塊鏈瀏覽器中調用了acceptableRoot這個方法,并把參數0傳入,返回的結果正如大家所見到的是true,Nomad項目被黑的核心原因終于被找到。

黑客利用這個漏洞,找一筆有效的交易反復發送構造好的交易數據,來抽取跨鏈橋被鎖定的資金,這也就是為什么網上說這次攻擊普通人也能做到的原因,現在Nomad的資金已經基本上都空了。

對此次事件網上大家的看法也不一致,有人稱第一筆轉出是黑客所為,后面極有可能是散戶撿錢,也有用戶猜測是項目方看到情況已經失控,于是自導自演。

至于真相如何我們不得而知,此次的事件中損失最嚴重的是不久前剛給nomad投資的機構,受nomad跨鏈橋被攻擊的影響,包括與nomad跨鏈橋相關的Moonbeam也受到不小的影響,但反而evmos因為Moonbeam暫時關閉的EVM功能,而Moonbeam作為evmos與以太坊生態的主要跨鏈橋,被盜的資金需要通過evmos作為出金渠道,反而迎來了一波不小的漲幅。

跨鏈橋被盜屢見不鮮,目前區塊鏈技術還在非常早期的階段,在早期的階段雖然有著非常大的紅利,但同時也伴隨著巨大的風險,希望大家還是小心謹慎。

來源:金色財經

Tags:SEINOMADNOMMADsei幣教程Nomad ExilesPumpanomicstamadoge幣潛力

以太坊價格
ALEO:ALEO官方博客推特Discord聯合宣布AleoTestnet3正式啟動

八月初始,美好的事物總會如期而至,8月2日ALEO官網博客、推特、Discord同時發聲,聯合發布AleoTestnet3正式啟動!至此萬眾期待的ALEO三測最終塵埃落地.

1900/1/1 0:00:00
COS:幣天王:8.3比特幣精確把握 以太坊多空爭奪 后市還看調整

各位幣友們,大家晚上好,現在是北京時間8月3日,我是幣天王,莫愁前路無知己,投資路上有知音,很高興可以在晚上這個時間點跟各位朋友們一起來復盤一下行情,也對后續的走勢做出我們的預判.

1900/1/1 0:00:00
CLE:從“FB”到“DAO”, Web3真的這么吸引人嗎?

DAO中DAO,非常DAO,我們真的可以在Web3開公司嗎?NickConfrey是前FBiOS工程師,以下是他在Web3領域開設公司的三大理由:?1.?與人共建.

1900/1/1 0:00:00
區塊鏈:引領下一輪加密牛市的五大關鍵主題和趨勢

熊市是積累財富的最佳機會。游客都走了,現在是淡季。現在正是投資者押注下一個大趨勢的時候。上一輪牛市周期見證了?DeFi?和?NFT?的興起,這兩個領域的創新、興趣和資本都出現了大幅增長.

1900/1/1 0:00:00
ETH:DeFi 分析師手把手教你構建分析研究框架

學會自己研究是加密貨幣中最強大的優勢。學會自己研究是加密貨幣中最強大的優勢,但大多數人在研究方面很糟糕,所以這篇文章是關于我的加密貨幣研究框架,也許能讓你構建研究框架變得簡單一些.

1900/1/1 0:00:00
NFT:比特幣:評估投資者是否看到熊市反彈

最大的加密貨幣比特幣已從底部強勁反彈,達到23000美元大關。那么這是否意味著牛市的開始呢?Glassnode在其8月1日最新的每周“鏈上”報告中對這一敘述進行了一些見解.

1900/1/1 0:00:00
ads