撰文:iambabywhale.eth
北京时间今日(8 月 2 日)清晨,跨链互操作性协议 Nomad 桥遭到黑客攻击,攻击发生期间 WETH 和 WBTC 以每次百万美元的速度被持续转出。据 DefiLlama 数据显示,Nomad 上近 2 亿美元的 TVL 在短时间内被攻击者「掏空」,截止发文时仅剩不到 4000 美元。
a16z crypto 应用安全团队成员 Matt Gleason 及 Paradigm 研究合伙人兼安全主管 Samczsun 在第一时间发推解释了本次攻击利用的漏洞。以下分析节选自二者的观点:
0xcd93开头地址已将40834枚RPL存入Rocket Pool质押:金色财经报道,据推特用户余烬监测,0xcd93开头地址19天前开始通过CoW Protocol花费约167万美元购买40834枚RPL,并将RPL存入Rocket Pool进行质押。
此外,疑似属于做市商Wintermute地址(0x2490开头)在Uniswap添加10万枚RPL(527万美元)的流动性,该地址共持有21.9万枚RPL。[2023/2/10 11:59:07]
Nomad 此次被攻击是由于跨链桥的配置导致可以通过特定路径发送任何事务,错误在于 Replica 内部的「process」功能。出问题的「process」功能被设计为保证信息被证明,然后处理信息,通常情况下这个过程没有问题。
国家区块链技术创新中心将落户北京:金色财经报道,国家区块链技术创新中心将落户北京,将突破区块链领域的基础性和前沿引领性关键核心技术,实现重大基础研究成果产业化,成为国家新型数字基础设施的重要支撑力量。该中心由北京微芯区块链与边缘计算研究院牵头,联合国内顶尖高校、科研院所和行业骨干企业共同建设。
区块链国创中心将重点围绕区块链基础理论、软硬件关键技术、基础平台与验证网络、共性平台与服务等开展关键技术攻关与产业化应用,建成持续开放的区块链底层平台,产出一批高水平标志性原创科技成果,服务国计民生重大场景应用等。
另外,区块链国创中心将积极探索企业主导的产学研联合攻关机制,建立有效的高层次人才激励与引进培养机制,引进集聚一批国际一流科技领军人才,强化创新资源开放共享,加大国际科技合作与交流,形成链接全球资源的创新网络。[2023/2/9 11:56:30]
张家港行已正式启用对公数字人民币钱包:10月15日消息,张家港行表示,企业网银对公数字人民币钱包开立将于近期正式启用。法人和非法人机构可开立对公数字人民币钱包,根据开立方式确定交易、余额限额,并在日常生产经营中通过数字人民币钱包进行资金的收付。通过张家港行数字人民币应用研究中心的研发,张家港行政务专属代发业务和财政集中支付功能也已启用。(证券时报)[2022/10/15 14:29:02]
该过程会使用「acceptableRoot」用来检查 root 是否被证明或者在当前时间之前已被确认。问题存在于 Solidity 语言中,如果一个 map 的映射键未找到会返回默认值 0,则「acceptableRoot」的参数 「_root 」将会是 0。
然而,由于合约初始状态下「_confirmedRoot」为 0,使得 0 就是一个已被确认的值(注:confirmAt = 1;)「acceptableRoot」接收一个 0 值就能通过验证。
结果,黑客正是利用该漏洞,找一笔有效交易反复发送构造好的交易数据抽取跨链桥被锁定的资金,从而导致 Nomad 上锁定的资金被几乎全数盗走。
受 Nomad 跨链桥被攻击的影响,Moonbeam 代币 GLMR 短时下跌近 10%,Evmos 代币 EVMOS 上涨超 150%。发生该情况或是由于 Moonbeam 暂时关闭 EVM 功能,以及 Nomad 作为 Evmos 与以太坊生态的主要跨链桥,被盗资金需要通过 EVMOS 作为出金渠道所致。
Evmos 官方发推称,目前正在与 Nomad 团队密切合作,并会在获得更多信息后更新进展,当下 Evmos 链运行正常。由于 Nomad 已暂停,因此用户无法将他们的 ERC20 封装资产从 Evmos 撤回到以太坊,团队会及时通知这对 Evmos 用户和拥有 Nomad 封装资产的用户有何影响。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。