以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

慢霧:Optimism 最大 NFT 平臺 Quixotic 出現漏洞,大量用戶資產被盜_NOMAD

Author:

Time:1900/1/1 0:00:00

鏈捕手消息,據慢霧安全團隊情報,2022年7月1號,Optimism生態最大NFT平臺Quixotic出現嚴重漏洞,大量用戶資產被盜,提醒在該市場上進行過交易的用戶盡快取消授權。

慢霧:昨日MEV機器人攻擊者惡意構造無效區塊,建議中繼運營者及時升級:金色財經報道,慢霧分析顯示,昨日MEV機器人被攻擊的問題原因在于即使信標區塊不正確,中繼仍將有效載荷(payload)返回給提議者,導致了提議者在另一個區塊被最終確定之前就能訪問區塊內容。攻擊者利用此問題,惡意構造了無效的區塊,使得該區塊無法被驗證,中繼無法進行廣播(狀態碼為202)從而提前獲得交易內容。mev-boost-relay昨日已緊急發布新版本緩解此問題,建議中繼運營者及時升級中繼。

據此前報道,昨日夾擊MEV機器人的惡意驗證者已被Slash懲罰并踢出驗證者隊列。[2023/4/4 13:43:37]

據悉,平臺在市場合約的fillSellOrder函數中僅對賣單進行了檢查,并未對買家的買單做檢查。故攻擊者首先創建了任意的NFT合約,調用fillSellOrder函數生成賣單,將buyer參數傳為受害者地址、paymentERC20參數傳為需要盜取的代幣地址,即可將對該市場合約有授權的用戶的代幣轉走獲利。

慢霧:跨鏈互操作協議Nomad橋攻擊事件簡析:金色財經消息,據慢霧區消息,跨鏈互操作協議Nomad橋遭受黑客攻擊,導致資金被非預期的取出。慢霧安全團隊分析如下:

1. 在Nomad的Replica合約中,用戶可以通過send函數發起跨鏈交易,并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根,其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。

2. 項目方在進行Replica合約部署初始化時,先將可信根設置為0,隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0,這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。

3. 因此攻擊者可以直接構造任意消息,由于未經過prove因此此消息映射返回的根是0,而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效,導致了攻擊者任意構造的消息可以正常執行,從而竊取Nomad橋的資產。

綜上,本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0,且在進行可信根修改時并未將舊根失效,導致了攻擊可以構造任意消息對橋進行資金竊取。[2022/8/2 2:52:59]

用戶可利用Optimism官方瀏覽器的授權管理功能https://optimistic.etherscan.io/tokenapprovalchecker查看或者取消授權。

聲音 | 慢霧:Dapp、交易所等攻擊事件造成損失已近41億美金:慢霧數據顯示Dapp、交易所等攻擊事件造成的損失已達4098587697.68美金,半月增加近3億美金。據2月28日報道,慢霧區上線“被黑檔案庫(SlowMist Hacked)”,目前各類攻擊事件共造成約 3824082630.12 美金的損失。[2019/3/13]

Tags:NOMADOMAPRONOMNOMAD幣Omax TokenBenchmark ProtocolAutonomy

比特幣最新價格
周末薦讀 | Web3 游戲代幣化指南;國人 DAO 大敗局_UNI

整理:胡韜,鏈捕手 1、《十問十答:Web3游戲代幣化指南》打造一款成功的Web3.0游戲,需要解決什么問題?絕非是簡單地將Web2.0游戲中的裝備或資源換成NFT.

1900/1/1 0:00:00
Yam Finance:阻止了意圖將其儲備控制權交給未知第三方的惡意治理攻擊_YAM

鏈捕手消息,DeFi協議YamFinance阻止了意圖將其儲備控制權交給未知第三方的惡意治理攻擊.

1900/1/1 0:00:00
晚報 | 英屬維爾京群島一家法院已下令清算三箭資本;Arbitrum 網絡平均每筆交易的 Gas 費高出以太坊主網近40%_區塊鏈

整理:Achai,鏈捕手“過去24小時都發生了哪些重要事件”1、外媒:英屬維爾京群島一家法院已下令清算三箭資本英屬維爾京群島的一家法院已下令清算總部位于新加坡的三箭資本.

1900/1/1 0:00:00
第 4 章:以太坊錢包_ENT

錢包是連接區塊鏈網絡的用戶友好接口。錢包管理著你的私鑰,而私鑰是你加密貨幣保險庫鎖的鑰匙。錢包讓你能夠接收、存儲和發送加密貨幣。 托管vs非托管 錢包有托管和非托管兩種類型.

1900/1/1 0:00:00
元宇宙概念交易市場 Highstreet 與 Animoca Brands達成合作,推出首個購買住房機制 IHO_元宇宙

鏈捕手消息,專注于零售的MMORPGHighstreetWorld近日與AnimocaBrands達成合作.

1900/1/1 0:00:00
游戲專用區塊鏈項目 Oasys 完成 2000萬美元 Token 私募融資,Republic Capital 領投_AXI

鏈捕手消息,7月7日,由日本知名游戲企業萬代南夢宮與世嘉聯合推出的游戲專用區塊鏈項目Oasys宣布完成2000萬美元Token私募融資,本輪融資由RepublicCapital領投.

1900/1/1 0:00:00
ads