8月2日,跨鏈橋協議Nomad遭遇攻擊,超過1.5億美元的用戶資金被黑客轉移,Paradigm合伙人samczsun對此安全事件進行了分析。Nomad剛剛在遭受Web3有史以來最混亂的一次黑客攻擊中損失了1.5億美元。那這到底是如何發生的,其根本原因是什么?請允許我帶你們到這次攻擊事件的幕后。
這一切都始于@officer_cia在ETHSecurity電報群頻道中分享的@spreekaway推文,雖然我當時不知道發生了什么,但離開Nomad跨鏈橋的資產數量顯然不是一個好的跡象。
去中心化資產管理市場AladdinDAO鎖倉量超1.4億美元:官方數據顯示,去中心化資產管理市場AladdinDAO鎖倉量(TVL)已達144495572.07美元,ALD現報0.677186美元,總供應量為8794961.88,每個區塊的挖礦獎勵為145 ALD。
此前消息,數十家加密貨幣投資機構聯合推出去中心化資產管理市場AladdinDAO,旨在通過加密經濟學的機制設計和DAO的方式改變風險投資的現有模式,激勵DeFi參與者為社區成員選擇最佳流動性挖礦項目,解決DeFi投資領域信息不對稱的問題。AladdinDAO的創始成員包括Polychain、DCG、1kx、Multicoin Capital、CMS、Nascent、Alameda、DeFi Alliance、Robert Leshner、Kain Warwick、Hart Lambur、Alex Pack、Ashwin Ramachandran和Sharlyn Wu。[2021/9/11 23:17:05]
24小時合約市場爆倉超1.61億美元 BTC合約爆倉1.26億美元:據合約帝行情統計報告顯示:過去24小時合約市場全網總計爆倉1.61億美元,爆倉人數10596人。其中,Huobi爆倉4840萬美元,OKEx爆倉3045萬美元,BitMEX爆倉3394萬美元,Binance爆倉3107萬美元,Bybit爆倉1805萬美元。爆倉金額前三的幣種是BTC1.26億美元,ETH2450萬美元,EOS153萬美元。[2020/10/20]
我的第一個想法是代幣的小數點有一些配置錯誤。畢竟,這座跨鏈橋似乎在進行“發送0.01WBTC,返還100WBTC”的促銷活動。
24小時合約市場爆倉超1.54億美元 BTC合約爆倉1.19億美元:據合約帝行情統計報告顯示:過去24小時合約市場全網總計爆倉1.54億美元,爆倉人數12147人。其中,Huobi爆倉4607萬美元,OKEx爆倉4105萬美元,BitMEX爆倉3429萬美元,Binance爆倉3296萬美元。爆倉金額前三的幣種是BTC1.19億美元,ETH2215萬美元,EOS367萬美元。[2020/8/1]
然而,在Moonbeam網絡上進行了一些痛苦的手動挖掘工作之后,我確認Moonbeam交易確實跨鏈出了0.01WBTC,但不知何故,以太坊交易跨鏈出的資產是100WBTC。https://moonscan.io/tx/0xcca9299c739a1b538150af007a34aba516b6dade1965e80198be021e3166fe4chttps://etherscan.io/tx/0xa5fe9d044e4f3e5aa5bc4c0709333cd2190cba0f4e7f16bcf73f49f83e4a5460
動態 | 24小時合約市場爆倉超1.69億美元 BTC合約爆倉1.24億美元:據合約帝行情統計報告顯示:過去24小時合約市場全網總計爆倉1.69億美元,爆倉人數7683人。其中Huobi 爆倉803萬美元,OKEx爆倉4964萬美元,Binance爆倉8380萬美元,BitMEX爆倉2768萬美元。爆倉金額前三的幣種是BTC1.24億美元,ETH2021萬美元,BCH755萬美元。[2020/2/19]
此外,WBTC跨鏈交易實際上并沒有證明什么。它只是直接調用了`process`,可以說,能夠在不首先證明的情況下處理消息是非常不好的
這個時候,有兩種可能性,要么是在較早的區塊中單獨提交了證明,要么是Replica合約存在嚴重的漏洞。但是,絕對沒有跡象表明最近有任何事已被證明。
那只剩下了一種可能性,Replica合約中存在著致命漏洞。那到底是怎么回事呢?快速查看后表明,提交的消息必須屬于可接受的根,否則,第185行的檢查將會失敗。
幸運的是,有一種簡單的方法可以檢查這個假設。我知道未經證明的消息根將是0x00,因為消息將未初始化。我所要做的就是檢查合約是否會接受這一點。
哎……
事實證明,在例行升級期間,Nomad團隊將可信根初始化為0x00。需要明確的是,使用零值作為初始化值是一種常見的做法。不幸的是,在這種情況下,它有一個很小的副作用,即自動驗證每個消息。
這就是黑客行為如此混亂的原因,你不需要了解Solidity或Merkle樹之類的東西,你所要做的就是找到一筆有效的交易,用你的地址查找/替換另一個人的地址,然后重新廣播它。總的來說,一次例行升級將零哈希標記為有效根,其效果是允許在Nomad上欺騙消息,攻擊者濫用此功能來復制/粘貼交易,并在一場瘋狂的混戰中迅速耗干了這座跨鏈橋的資金。譯者注:此次Nomad跨鏈橋的黑客攻擊,Moonbeam和evmos這兩條公鏈的用戶會受到較大影響,其中,Moonbeam涉及的跨鏈資金相對較大。這次事件再次提醒了我們跨鏈橋的風險,用戶在使用跨鏈橋后,應盡量避免持有跨鏈資產,而應盡快兌換成區塊鏈的原生資產,并且以太坊主鏈的原生資產安全性要高于其他鏈。
8月18日,推特用戶Cirrus指出,大量用作抵押品的BoredApeYachtClubNFT接近BendDAO的清算點.
1900/1/1 0:00:006月1日,Optimism正式開啟代幣OP的空投空投,隨后在兩個月半月的時間內,OP的二級市場價格上演了一波過山車式的走勢.
1900/1/1 0:00:00Web3和區塊鏈的世界是否像聽起來那樣令人生畏?拜登競選活動的首席事件響應官、前英特爾事件響應總監JackieSingh采訪了Web3安全從業人員.
1900/1/1 0:00:00Odaily星球日報譯者|Moni 以太坊即將迎來有史以來最大規模的升級——“合并”,從此從工作量證明轉向權益證明共識機制.
1900/1/1 0:00:00TL;DR隱私公鏈為公鏈存在的隱私性問題提供解決方案,主要有三大特征:可編程性、互操作性、生態可擴展性;零知識證明技術、安全多方計算技術等為隱私公鏈提供技術支撐;隱私公鏈可在用戶交易時隱藏敏感信.
1900/1/1 0:00:00公鏈項目Aptos自今年2月正式曝光以來,因自帶Facebook團隊出身背景而一直持續受到市場關注,「明星團隊出身光環」的加持下,資本方拋出了高昂的橄欖枝,7月25日.
1900/1/1 0:00:00