以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

超1.5億美元損失,跨鏈橋協議Nomad黑客攻擊事件分析_BTC

Author:

Time:1900/1/1 0:00:00

8月2日,跨鏈橋協議Nomad遭遇攻擊,超過1.5億美元的用戶資金被黑客轉移,Paradigm合伙人samczsun對此安全事件進行了分析。Nomad剛剛在遭受Web3有史以來最混亂的一次黑客攻擊中損失了1.5億美元。那這到底是如何發生的,其根本原因是什么?請允許我帶你們到這次攻擊事件的幕后。

這一切都始于@officer_cia在ETHSecurity電報群頻道中分享的@spreekaway推文,雖然我當時不知道發生了什么,但離開Nomad跨鏈橋的資產數量顯然不是一個好的跡象。

Terra新提案提議為主要DeFi項目提供超1.39億美元的USDT和LUNA:1月7日消息,去中心化穩定幣發行方Terra發布了一項新提案,旨在將其UST穩定幣跨鏈部署擴展至以太坊、Polygon和Solana上的五個主要DeFi項目,為其提供超過1.39億美元的UST和LUNA。

Terra在1月6日發表的研究文章《UST Goes Interchain: Degen Strats Part 3》詳細介紹了1.39億美元的UST及其原生穩定幣LUNA將如何被使用,以及如果該提案獲得通過,將在哪些平臺上使用的相關細節。

在每一項擬議的部署中,Terra將存入25萬至5000萬美元不等的UST,以提高每個新合作項目的穩定性。其主要目標是“為以太坊DeFi帶來優秀的UST用例”。治理參與者將在稍后就該提案舉行投票。(Cointelegraph)[2022/1/7 8:31:34]

以太坊測試網Ropsten激活倫敦升級后已銷毀約8.44 ETH,價值超1.6萬美元:數據顯示,以太坊測試網Ropsten激活倫敦升級后已銷毀約8.44 ETH,價值超1.6萬美元。

此前消息,以太坊測試網Ropsten已于6月24日10點03分在區塊高度10499401處激活倫敦升級。本次升級包括了改變以太坊1.0 Gas費用市場的的EIP-1559以及將難度炸彈推遲至 2021年12月1日等更新。[2021/6/24 0:02:57]

我的第一個想法是代幣的小數點有一些配置錯誤。畢竟,這座跨鏈橋似乎在進行“發送0.01WBTC,返還100WBTC”的促銷活動。

24小時合約市場爆倉超1.05億美元:據合約帝行情統計報告顯示:過去24小時合約市場全網總計爆倉1.05億美元,爆倉人數6808人。其中,Huobi爆倉2916萬美元,OKEx爆倉2154萬美元,BitMEX爆倉3107萬美元,Binance爆倉2323萬美元。爆倉金額前三的幣種是BTC9420萬美元,ETH461萬美元,EOS222萬美元。[2020/7/3]

然而,在Moonbeam網絡上進行了一些痛苦的手動挖掘工作之后,我確認Moonbeam交易確實跨鏈出了0.01WBTC,但不知何故,以太坊交易跨鏈出的資產是100WBTC。https://moonscan.io/tx/0xcca9299c739a1b538150af007a34aba516b6dade1965e80198be021e3166fe4chttps://etherscan.io/tx/0xa5fe9d044e4f3e5aa5bc4c0709333cd2190cba0f4e7f16bcf73f49f83e4a5460

行情 | BTC短時上漲超1.0% 一度逼近7900美元:火幣全球站數據顯示,BTC在5分鐘內快速上漲超1.0%,一度逼近7900美元,現報價7870.98美元,日內跌幅約1.20%。行情波動較大,請做好風險控制。[2019/9/30]

此外,WBTC跨鏈交易實際上并沒有證明什么。它只是直接調用了`process`,可以說,能夠在不首先證明的情況下處理消息是非常不好的

這個時候,有兩種可能性,要么是在較早的區塊中單獨提交了證明,要么是Replica合約存在嚴重的漏洞。但是,絕對沒有跡象表明最近有任何事已被證明。

那只剩下了一種可能性,Replica合約中存在著致命漏洞。那到底是怎么回事呢?快速查看后表明,提交的消息必須屬于可接受的根,否則,第185行的檢查將會失敗。

幸運的是,有一種簡單的方法可以檢查這個假設。我知道未經證明的消息根將是0x00,因為消息將未初始化。我所要做的就是檢查合約是否會接受這一點。

哎……

事實證明,在例行升級期間,Nomad團隊將可信根初始化為0x00。需要明確的是,使用零值作為初始化值是一種常見的做法。不幸的是,在這種情況下,它有一個很小的副作用,即自動驗證每個消息。

這就是黑客行為如此混亂的原因,你不需要了解Solidity或Merkle樹之類的東西,你所要做的就是找到一筆有效的交易,用你的地址查找/替換另一個人的地址,然后重新廣播它。總的來說,一次例行升級將零哈希標記為有效根,其效果是允許在Nomad上欺騙消息,攻擊者濫用此功能來復制/粘貼交易,并在一場瘋狂的混戰中迅速耗干了這座跨鏈橋的資金。譯者注:此次Nomad跨鏈橋的黑客攻擊,Moonbeam和evmos這兩條公鏈的用戶會受到較大影響,其中,Moonbeam涉及的跨鏈資金相對較大。這次事件再次提醒了我們跨鏈橋的風險,用戶在使用跨鏈橋后,應盡量避免持有跨鏈資產,而應盡快兌換成區塊鏈的原生資產,并且以太坊主鏈的原生資產安全性要高于其他鏈。

Tags:BTC以太坊MADUSTbbtc幣發行價以太坊幣k線圖nomad幣交易所Trustwallet官方下載

火必交易所
一文讀懂DAO以及Web3治理的挑戰_DAO

Web3之所以會出現,是因為中心化機構在管理金融和社會基礎設施時無法保障安全性、公平性和透明性.

1900/1/1 0:00:00
a16z:以三要素衡量SNARK性能_ARK

SNARK是一種重要的密碼原語,用于發現區塊鏈可擴展性和隱私的應用。SNARK允許某人向不可信驗證器V證明他們知道一些數據。證明這一點的簡單方法是將數據發送給V,然后V可以直接檢查其有效性.

1900/1/1 0:00:00
一文讀懂TVL:在不同的使用場景中有什么價值?_TVL

原Solana開發者IanMacalinao以11個獨立開發人員的身份在Solana上創建了大量相互堆疊的協議,抬高Solana上TVL的做法引發廣泛關注.

1900/1/1 0:00:00
Vitalik:不同類型ZK-EVM的未來_以太坊

最近有許多「ZK-EVM」項目高調發布公告。Polygon開放了他們的ZK-EVM項目,ZKSync發布了他們的ZKSync2.0計劃,相對較新的Scroll最近也發布了他們的ZK-EVM.

1900/1/1 0:00:00
星球日報 | Nomad資金返還進行中;一開發者偽造11個假身份虛增數十億TVL(8月8日)_區塊鏈

頭條 Nomad:將為歸還90%以上所盜資金的攻擊者提供最高10%的獎勵,目前共收回3570萬美元跨鏈互操作性協議Nomad表示,將為歸還90%以上所盜資金的攻擊者提供最高10%的獎勵.

1900/1/1 0:00:00
Goerli測試網合并真的成功了嗎?_以太坊

今日,以太坊完成了合并之前最重要的一個測試之一,加密世界即將迎來一場極為重要的變革。7月27日,以太坊宣布Bellatrix升級為Goerli的信標鏈Prater,為測試網合并做準備.

1900/1/1 0:00:00
ads