原文作者:Samczsun,Paradigm合伙人?
原文编译:DeFi之道
8月2日,跨链桥协议Nomad遭遇攻击,超过1.5亿美元的用户资金被黑客转移,Paradigm合伙人?samczsun?对此安全事件进行了分析。
Nomad刚刚在遭受Web3有史以来最混乱的一次黑客攻击中损失了1.5亿美元。那这到底是如何发生的,其根本原因是什么?请允许我带你们到这次攻击事件的幕后。
这一切都始于@officer_cia在ETHSecurity电报群频道中分享的@spreekaway推文,虽然我当时不知道发生了什么,但离开Nomad跨链桥的资产数量显然不是一个好的迹象。
数据:超1.3万枚BTC转入Coinbase,价值超4亿美元:Whale Alert数据显示,北京时间7月17日12:30:20,13,003.019 BTC从多个地址转入Coinbase,价值超4亿美元。交易哈希为:ec7862bcffe36e32b4c5297c7f438a230cfae308c27304978c3b2ec9cc73ee75。[2021/7/17 0:59:03]
我的第一个想法是代币的小数点有一些配置错误。毕竟,这座跨链桥似乎在进行“发送0.01WBTC,返还100WBTC”的促销活动。
国内区块链专利已超1.49万个:根据统计,我国至今申请和公开的区块链专利都已超过1.49万个。其中2018年是申请区块链专利最多的年份,共计6651个区块链专利,环比增长273.44%,2019年虽然申请量有所下降,但也达到了5813个,环比下跌约12.60%。但在2020年已过去的3个多月里,区块链专利的申请量只有21个,远远低于前两年月均值,但这或因专利申请和审核都受到疫情影响。在公开的专利中,2019年占了58.09%,共计8672个,环比上涨30.39%。2020年至今已经公开了1771个专利,占比约为11.86%。按照2019年的申请量,今年的公开量可能接近去年的高位水平。同时,专利集中于BATJP五大集团(阿里巴巴、百度、京东、平安、腾讯),及大学、银行、国网三大系统。2019年以来公开的区块链专利技术大类仍然以G06(“计算;推算;计数)和H04(“电通信技术”)为主。除此之外,2019年至今较2018年,区块链技术还在6个小类上有所突破。最显著的专利突破来自A63F游戏类专利,游戏类DApp中的常见玩法,如卡牌和骰子都属于此类。2018年该类专利的公开数量尚且为0,2019年至今累计已经公开了109个。[2020/4/15]
然而,在Moonbeam网络上进行了一些痛苦的手动挖掘工作之后,我确认Moonbeam交易确实跨链出了0.01WBTC,但不知何故,以太坊交易跨链出的资产是100WBTC。
24小时合约市场爆仓超1.15亿美元:据合约帝行情统计报告显示:过去24小时合约市场全网总计爆仓1.15亿美元,爆仓人数8018人。其中Huobi爆仓1723万美元,OKEx爆仓2569万美元,BitMEX爆仓3657万美元,Binance爆仓3640万美元。爆仓金额前三的币种是BTC1.1亿美元,ETH196万美元,XRP104万美元。[2020/3/30]
https://moonscan.io/tx/0xcca9299c739a1b538150af007a34aba516b6dade1965e80198be021e3166fe4c
https://etherscan.io/tx/0xa5fe9d044e4f3e5aa5bc4c0709333cd2190cba0f4e7f16bcf73f49f83e4a5460
此外,WBTC跨链交易实际上并没有证明什么。它只是直接调用了?`process`,可以说,能够在不首先证明的情况下处理消息是非常不好的
这个时候,有两种可能性,要么是在较早的区块中单独提交了证明,要么是Replica合约存在严重的漏洞。但是,绝对没有迹象表明最近有任何事已被证明。
那只剩下了一种可能性,Replica合约中存在着致命漏洞。那到底是怎么回事呢?快速查看后表明,提交的消息必须属于可接受的根,否则,第185行的检查将会失败。
幸运的是,有一种简单的方法可以检查这个假设。我知道未经证明的消息根将是?0x00,因为消息??将未初始化。我所要做的就是检查合约是否会接受这一点。
哎……
事实证明,在例行升级期间,Nomad团队将可信根初始化为?0x00。需要明确的是,使用零值作为初始化值是一种常见的做法。不幸的是,在这种情况下,它有一个很小的副作用,即自动验证每个消息。
这就是黑客行为如此混乱的原因,你不需要了解Solidity或Merkle树之类的东西,你所要做的就是找到一笔有效的交易,用你的地址查找/替换另一个人的地址,然后重新广播它。
总的来说,一次例行升级将零哈希标记为有效根,其效果是允许在Nomad上消息,攻击者滥用此功能来复制/粘贴交易,并在一场疯狂的混战中迅速耗干了这座跨链桥的资金。
译者注:此次Nomad?跨链桥的黑客攻击,Moonbeam和evmos这两条公链的用户会受到较大影响,其中,Moonbeam涉及的跨链资金相对较大。这次事件再次提醒了我们跨链桥的风险,用户在使用跨链桥后,应尽量避免持有跨链资产,而应尽快兑换成区块链的原生资产,并且以太坊主链的原生资产安全性要高于其他链。
标签:NOMOMANOMADMADNomad ExilesKromatikaNeonomad FinanceMADinArt
尊敬的用戶:Hotcoin現已開放Polygon(MATIC)網絡的充值提現業務,同時已開啟ERC20(MATIC)網絡充值提現業務。用戶可自行選擇主網或ERC20代幣.
金色财经报道,区块链节点基础设施提供商Alchemy宣布了一项向Polkadot网络上的区块链Astar提供其节点基础设施的交易.
8月3日消息,Solana钱包Phantom疑似遭遇黑客攻击,多名用户报告称其资金在不知情的情况下被耗尽.
8月1日消息,中国经济时报发文称,进入新发展阶段,建议我国分区域分行业多途径推进推广数字货币,打通信用数据融合应用通道,破除信用业态的数据壁垒,发挥信用大数据集聚优势.
DearValuedUsers,CandyDropislaunchingMRSonAugust1,2022.Registrationperiod:?MRS:11:00(UTC)Aug1.
金色财经报道,P2ENFT游戏BlockchainBrawlers将很快推出自己的"BRWLMALL”,BRWLMALL是BlockchainBrawlers自己的市场.
链资讯