Nomad事件今天霸屏幣圈,短短幾個小時被黑上億美元。而且Nomad在受到攻擊之后,TVL也在幾個小時內撤出了將近2億美元。
在之前的區塊鏈項目被黑的事件中,曾有用戶用AnySwap跨鏈被黑十幾萬,通過對漏洞的追蹤,最終發現在AnySwap下,黑客可以利用隨機數種子反推出用戶的私鑰來達到盜取用戶資產的目的。
AnySwap這種破解私鑰的技術可能需要一定的技術門檻,但是這次Nomad漏洞是為數不多的,即便是普通人不懂技術和代碼也有機會可以實現的攻擊,所以事件才會發酵如此之快。此次事件也受到業內白帽的關注。
分布式資本合伙人沈波:錢包已被盜,賣出LQTY非其本人操作:4月16日消息,分布式資本合伙人沈波對此前有關其“賣出超過55萬枚LQTY”的消息做出回應,稱其錢包地址已被盜,賣出操作非其個人行為。據Spot On Chain監測,分布式資本創始合伙人沈波在9小時前以2.42美元的高價將557,140 枚LQTY兌換為613枚ETH,總價值為135萬美元。
據此前消息,去年11月23日,沈波在推特上表示:“個人常用894結尾錢包,共4200萬美元價值資產,其中包含3800萬枚USDC在紐約時間11月10日凌晨被盜。被盜資產為個人資金,與分布式相關基金無關”。(PANews )[2023/4/16 14:06:38]
@samczsun是業內知名的白帽,相信大家都不陌生,在早年有一個項目漏洞,他本可以輕易將資金轉走,但是他卻花了整整一個通宵,幾經轉折聯系到了項目方修補了這個漏洞,而此次他也對Nomad事件做了一個詳細的分析。
持有超過0.1 ETH的地址數量創1個月新低:金色財經報道,Glassnode數據顯示,持有超過0.1 ETH的地址數量達到5,124,042個,創1個月新低。[2023/3/5 12:42:42]
我們不妨來一起來回顧一下此次被盜事件漏洞問題:
從電報中@samczsun發現鏈上的資產在迅速的撤出,于是他去查詢了鏈上具體的交易信息,發現了一些端倪。
當一個賬戶發出0.01個WBTC的時候會返回給100個WBTC,當然這不排除是某種促銷活動,于是@samczsun繼續進行一些鏈上跟蹤后發現了問題,在Moonbeam上橋接的0.01個WBTC,不知是何原因以太坊卻收到了100個。
BAYC游戲Dookey Dash獲勝者將其NFT以2222ETH的價格上架OpenSea:金色財經報道,BAYC游戲Dookey Dash獲勝者Mongraal已將其Golden Key NFT以2222ETH(約合370萬美元)的價格上架OpenSea。OpenSea上的最高報價目前是建議價格的10%,即222ETH。
此前報道,BAYC在推特上表示,MINT游戲Dookey Dash的Golden Key獲勝者為Sewer Pass 21915。該持有者Mongraal是英國知名電競選手,以玩Fortnite而聞名,曾經是Team Secret戰隊的一員。[2023/2/18 12:14:58]
通過查詢合約代碼@samczsun定位到了一個嚴重的問題。合約中有一個叫做process的方法,這個方法的作用是,首先它會驗證信息確保收到的信息是被證明過的,如果信息沒有問題就執行。正常來說這樣的邏輯和過程是沒有任何問題的,但是問題就在于這個驗證。
Messages是一個Map,Map的結構是鍵值對的,如果在這個map里面沒有找到對應的鍵,根據solidity的規則會返回一個默認值0,而這個鍵是從哪里來的?
我們可以從代碼中看到,key是從process的參數message的字節碼中解析出來的,也就是說鍵是從外部傳入的,現在想要黑掉這個合約,我們的必要條件基本上都具備,關鍵驗證信息從外部傳入,這個是我們已經確認的,剩下的只要證明acceptableRoot如果能夠接受0返回true,那就能把這個驗證繞過。
@samczsun在區塊鏈瀏覽器中調用了acceptableRoot這個方法,并把參數0傳入,返回的結果正如大家所見到的是true,Nomad項目被黑的核心原因終于被找到。
黑客利用這個漏洞,找一筆有效的交易反復發送構造好的交易數據,來抽取跨鏈橋被鎖定的資金,這也就是為什么網上說這次攻擊普通人也能做到的原因,現在Nomad的資金已經基本上都空了。
對此次事件網上大家的看法也不一致,有人稱第一筆轉出是黑客所為,后面極有可能是散戶撿錢,也有用戶猜測是項目方看到情況已經失控,于是自導自演。
至于真相如何我們不得而知,此次的事件中損失最嚴重的是不久前剛給nomad投資的機構,受nomad跨鏈橋被攻擊的影響,包括與nomad跨鏈橋相關的Moonbeam也受到不小的影響,但反而evmos因為Moonbeam暫時關閉的EVM功能,而Moonbeam作為evmos與以太坊生態的主要跨鏈橋,被盜的資金需要通過evmos作為出金渠道,反而迎來了一波不小的漲幅。
跨鏈橋被盜屢見不鮮,目前區塊鏈技術還在非常早期的階段,在早期的階段雖然有著非常大的紅利,但同時也伴隨著巨大的風險,希望大家還是小心謹慎。
來源:金色財經
加密市場入熊以來,拋售浪潮席卷而來,多家交易機構陷入流動性危機。雖然給市場頂部杠桿化的加密公司帶來了巨大挑戰,但也為這些公司提供并購時機.
1900/1/1 0:00:00圣路易斯聯儲主席布拉德周三重申,美國經濟沒有陷入衰退,美聯儲將繼續加息以抑制高通脹。 雖然加密資產公司的交易已有歐盟27個成員國的監管機構的管控,但ESMA將監督更大的加密交易參與者.
1900/1/1 0:00:00互聯網巨頭們的集體斷網,再次為中心化網絡敲響“喪鐘”。2022年6月21日,全球性的網絡基礎設施服務提供商Cloudflare發生故障,導致數百個大型網站出現斷網,其中包括Discord、Med.
1900/1/1 0:00:00Layer2指基于底層區塊鏈的鏈下網絡、系統或技術,目的是為了擴展底層區塊鏈網絡。Layer2網絡可以提升任何底層區塊鏈的吞吐量以及其他性能.
1900/1/1 0:00:00各位幣友們,大家晚上好,今天是北京時間8月1日,也是我們的建軍節,首先祝人民的衛士們,節日快樂。我是幣天王,莫愁前路無知己,投資路上有知音.
1900/1/1 0:00:00近日,開利網絡拜訪廣東元素生命科技有限公司,就該公司旗下以纖維米為代表的系列產品及目前推廣方式進行了初步了解.
1900/1/1 0:00:00