区块侠 > 分析 >速评:连黑客技术都没用到 Nomad 就「倒下」了

速评:连黑客技术都没用到 Nomad 就「倒下」了

weilian2022-08-02 15:12:56金色财经
跨链桥 Nomad 近 2 亿美元 TVL 被几乎全数盗走,EVMOS 币价短时暴涨超 1.5 倍。

撰文:iambabywhale.eth

北京时间今日(8 月 2 日)清晨,跨链互操作性协议 Nomad 桥遭到黑客攻击,攻击发生期间 WETH 和 WBTC 以每次百万美元的速度被持续转出。据 DefiLlama 数据显示,Nomad 上近 2 亿美元的 TVL 在短时间内被攻击者「掏空」,截止发文时仅剩不到 4000 美元。

a16z crypto 应用安全团队成员 Matt Gleason 及 Paradigm 研究合伙人兼安全主管 Samczsun 在第一时间发推解释了本次攻击利用的漏洞。以下分析节选自二者的观点:

Nomad 此次被攻击是由于跨链桥的配置导致可以通过特定路径发送任何事务,错误在于 Replica 内部的「process」功能。出问题的「process」功能被设计为保证信息被证明,然后处理信息,通常情况下这个过程没有问题。

该过程会使用「acceptableRoot」用来检查 root 是否被证明或者在当前时间之前已被确认。问题存在于 Solidity 语言中,如果一个 map 的映射键未找到会返回默认值 0,则「acceptableRoot」的参数 「_root 」将会是 0。

然而,由于合约初始状态下「_confirmedRoot」为 0,使得 0 就是一个已被确认的值(注:confirmAt[0] = 1;)「acceptableRoot」接收一个 0 值就能通过验证。

结果,黑客正是利用该漏洞,找一笔有效交易反复发送构造好的交易数据抽取跨链桥被锁定的资金,从而导致 Nomad 上锁定的资金被几乎全数盗走。

受 Nomad 跨链桥被攻击的影响,Moonbeam 代币 GLMR 短时下跌近 10%,Evmos 代币 EVMOS 上涨超 150%。发生该情况或是由于 Moonbeam 暂时关闭 EVM 功能,以及 Nomad 作为 Evmos 与以太坊生态的主要跨链桥,被盗资金需要通过 EVMOS 作为出金渠道所致。

Evmos 官方发推称,目前正在与 Nomad 团队密切合作,并会在获得更多信息后更新进展,当下 Evmos 链运行正常。由于 Nomad 已暂停,因此用户无法将他们的 ERC20 封装资产从 Evmos 撤回到以太坊,团队会及时通知这对 Evmos 用户和拥有 Nomad 封装资产的用户有何影响。

Celsius 前雇员揭秘:吸储118亿加密巨头破产原因

作者|EricaCarnevalli&MargaretFleming编辑|GaryMa吴说区块链概要根据前雇员和CNBC审查的内部文件,Celsius在导致其最近的流动性问题的几年里有一系列的内部失误。接受CNBC采访的员工描绘了一幅冒险、无序和涉嫌操纵...

通往自我主权身份的道路:反乌托邦已成现实?

匿名性和无信任是加密世界的核心。人们不必将现实世界的身份附加到加密货币钱包上,社区在名义上试图避免对政府或大型科技公司等机构的信任。但是,随着加密货币世界越来越多地试图超越简单的支付和NFT交易,他们正...

被炒币殃及的不止马斯克,美图投资加密货币半年亏3亿,上市6年从未盈利

本文来源:时代财经作者:王婷图源:美图财报截图7月3日晚间,美图公司发布公告,预计今年上半年录得净亏损2.75亿元-3.5亿元(未标注,人民币),净亏损同比增加约99.6%至154.1%,主要原因是已购买的加密货币减值。...

对 Solana 的黑客攻击回顾:有什么共同点以及如何避开它们?

</h1>原文作者:sec3自一年前以来,Solana生态系统实现了超高速增长,同时见证了多次黑客攻击(包括Wormhole、CashioApp、CremaFinance、Nirvana和SlopeWallet),这些黑客攻击总共造成了近4亿美元的损失。重要的是,...

拆解数据可用性层:模块化未来中被忽视的乐高积木

作者:Jiawei,IOSGVentures本文为IOSG原创内容,仅做行业学习交流之用,不构成任何投资参考。如需引用,请注明来源,转载请联系IOSG团队获取授权及转载须知。对于轻客户端的数据可用性,采用纠删码来解决该问题几乎...

Chainlink主网上线三周年

5月30日是Chainlink在以太坊主网上线三周年的日子。自从主网上线以来,Chainlink在全球开发者、研究者、贡献者、数据提供商、节点运营商以及社区成员的帮助下,已经发展成了Web3世界中不可或缺的预言机基础设施。Cha...

NFT 聚合器 Gem 和 Genie 累计交易量超过 15 亿美元

据Dune数据,NFT聚合器Gem和Genie累计交易量超过15亿美元,其中Gem累计交易量约为10.5亿美元,Genie累计交易量约为4.6亿美元。Gem于今年4月份被OpenSea宣布收购,目前作为独立的产品和品牌继续运营。Genie于今年6月...

全球独角兽|五个月长成独角兽,一双虚拟鞋卖5000元,最火web3游戏如何让人跑步入场

文|子佩编辑|乔芊一双只要你在动就能赚钱的虚拟跑鞋,你会动心吗?如果这双鞋的价格最高上百万元,最低也要5000元,你还会吗?StepN就是这样一双鞋:玩家在购入NFT运动鞋后,只要在运动,无论是逛街通勤还是跑步健...

金色观察|DeFi史上具备从0到1创新性的7个代币

DeFi研究员Ignas表示,代币经济学的从0到1的创新非常困难,但偶尔出现的极具创新性的代币,会改变行业的发展轨迹。新代币经济学的独创性将推动行业向前发展,并有能力启动一个新的牛市。上一轮DeFi牛市中就出现过一...

上半年 Crypto VC 融资投资金额超302亿美元

通过分析加密融资数据网站DoveMetrics的所有数据,整理并汇编为这份2022年上半年CryptoVC融资报告。2022年第一季度共融资543轮,第二季度融资652轮,即2022年上半年总计1,195轮,相比2021年上半年增加了50.79%。VC投...
TAG:行情 ETH
上一篇:金色观察|首次去中心化抢劫:还原Nomad被攻击始末
下一篇:摇滚乐队Muse将以NFT形式发行新专辑