Foresight News2022-08-02 10:48:35
撰文:iambabywhale.eth
北京时间今日(8 月 2 日)清晨,跨链互操作性协议 Nomad 桥遭到黑客攻击,攻击发生期间 WETH 和 WBTC 以每次百万美元的速度被持续转出。据 DefiLlama 数据显示,Nomad 上近 2 亿美元的 TVL 在短时间内被攻击者「掏空」,截止发文时仅剩不到 4000 美元。
a16z crypto 应用安全团队成员 Matt Gleason 及 Paradigm 研究合伙人兼安全主管 Samczsun 在第一时间发推解释了本次攻击利用的漏洞。以下分析节选自二者的观点:
Nomad 此次被攻击是由于跨链桥的配置导致可以通过特定路径发送任何事务,错误在于 Replica 内部的「process」功能。出问题的「process」功能被设计为保证信息被证明,然后处理信息,通常情况下这个过程没有问题。
该过程会使用「acceptableRoot」用来检查 root 是否被证明或者在当前时间之前已被确认。问题存在于 Solidity 语言中,如果一个 map 的映射键未找到会返回默认值 0,则「acceptableRoot」的参数 「_root 」将会是 0。
然而,由于合约初始状态下「_confirmedRoot」为 0,使得 0 就是一个已被确认的值(注:confirmAt[0] = 1;)「acceptableRoot」接收一个 0 值就能通过验证。
结果,黑客正是利用该漏洞,找一笔有效交易反复发送构造好的交易数据抽取跨链桥被锁定的资金,从而导致 Nomad 上锁定的资金被几乎全数盗走。
受 Nomad 跨链桥被攻击的影响,Moonbeam 代币 GLMR 短时下跌近 10%,Evmos 代币 EVMOS 上涨超 150%。发生该情况或是由于 Moonbeam 暂时关闭 EVM 功能,以及 Nomad 作为 Evmos 与以太坊生态的主要跨链桥,被盗资金需要通过 EVMOS 作为出金渠道所致。
Evmos 官方发推称,目前正在与 Nomad 团队密切合作,并会在获得更多信息后更新进展,当下 Evmos 链运行正常。由于 Nomad 已暂停,因此用户无法将他们的 ERC20 封装资产从 Evmos 撤回到以太坊,团队会及时通知这对 Evmos 用户和拥有 Nomad 封装资产的用户有何影响。
以太坊Layer 2必知必会2023-04-26 15:03:27
浅析NFT未来:仅少数项目上涨 出圈项目会成赢家2023-04-26 14:15:26
E-CNY时代来临:当你的工资成为数字人民币2023-04-26 12:43:48
浅谈为什么MEV搜索者矿池并不可行?2023-04-26 12:08:40
"庄家"互撕 曝出加密巨头拉的那些"帮派"2023-04-26 11:59:08
怎样到达Web3世界:使用Web3技术的公司及集成到业务的步骤2023-04-26 11:53:15
稳定币项目 HAI、Starknet 2023 路线图2023-04-26 11:46:35
ChatGPT类产品安全隐患解决?英伟达发布开源工具包2023-04-26 11:26:24
蚂蚁集团发布HOU、AntChainBridge、Web3开放联盟链等多个Web3产品2023-04-26 11:24:46
ChatGPT背后的算力博弈 中国企业亟待打破美国桎梏2023-04-26 10:59:28
简析DWF Labs:出手频繁 颇具争议的加密做市商2023-04-26 10:48:45
NFT 交易平台生存现状研究:后版税战争时代下的龙头之争2023-04-26 09:20:51
以太坊提款功能开启后的带宽使用情况2023-04-26 08:30:24
上海升级提款效应:数据揭示 LSD 项目们的表现2023-04-26 07:28:37
3分钟读懂基于LayerZero的多链抗MEV DEX聚合器Cashmere2023-04-25 20:05:34
对话去中心化流动性质押协议Rocket Pool:如何促进以太坊Staking民主化?2023-04-25 19:02:21
Bankless:欧美都想监管稳定币 他们怎么做?2023-04-25 17:43:44
Coinbase起诉SEC全文:请在合理时间内回应加密规则请愿书2023-04-25 16:43:34
慢雾:Web3 假钱包第三方源调查分析2023-04-25 15:43:36
Binance Sensei介绍:您的Web3 AI导师2023-04-25 13:20:55