北京時間8月2日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,跨鏈通訊協議Nomad遭遇攻擊,黑客獲利約1.5億美元。截止發稿前,根據DeFiLlama數據顯示,Nomad代幣橋中只剩下約5900美元左右。
關于本次攻擊事件的來龍去脈,成都鏈安安全團隊第一時間進行了分析。
PART01
加密市場中首次發生的去中心化搶劫?
首先,我們先來認識本次故事主角——Nomad。
Nomad自稱能提供安全的互操作性解決方案,旨在降低成本并提高跨鏈消息傳遞的安全性,與基于驗證者的跨鏈橋不同,Nomad不依賴大量外部方來驗證跨鏈通信,而是通過利用一種optimistic機制,讓用戶可以安全地發送消息和橋接資產,并保證任何觀看的人都可以標記欺詐并保護系統。
而在4月13日,他們也以2.25億美元估值完成高達2200萬美元的種子輪融資,領投方為Polychain。對于一家初創項目而言,數千萬美元種子輪融足可謂贏在起跑線上,但是本次攻擊之后,不知道項目方會如何處理與“自救”。
阿聯酋簽署協議在Venom基金會區塊鏈上開發碳信用系統:金色財經報道,阿拉伯聯合酋長國(UAE)氣候變化與環境部(MCCE)正在與工業創新集團和 Venom 基金會建立初步合作伙伴關系,在Venom基金會區塊鏈上開發碳信用體系。由于鏈上記錄的數據具有不可變的性質,這些碳信用積分可以安全地出售或交易,并且對所有感興趣的各方來說都是完全透明的。這允許政府組織(例如阿聯酋的 MCCE)向企業出售或發放信貸。信用持有者可以使用信用(這允許他們在給定時間內排放特定數量的碳),也可以將其出售和交易給其他希望抵消自身排放的組織。[2023/8/8 21:30:29]
Nomad官方推特表示,已得知此事,目前正在調查。
Neo Smart Economy:暫停了鏈接Neo鏈的跨鏈橋服務,用戶資產安全:7月2日消息,Neo Smart Economy發推稱,幾個小時前其暫停了鏈接Neo鏈的跨鏈橋服務,用戶資產安全。團隊將與Poly Network保持密切溝通以獲取進一步信息。[2023/7/2 22:13:22]
關于本次事件,在Web3領域,卻引起了爭議。
Terra研究員FatMan在推特上對Nomad遭遇攻擊事件發表評論稱:“在公共Discord服務器上彈出的一條消息稱,任意一個人都能從Nomad橋上搶了3千到2萬美元:所有人要做的就是復制第一個黑客的交易并更改地址,然后點擊通過Etherscan發送。這是在真正的加密市場中首次發生的去中心化搶劫。”
加密貨幣數據公司Nomics推出AI驅動的7天價格預測:加密貨幣數據公司Nomics正在將人工智能應用于通常混亂的加密貨幣交易。Nomics宣布推出可以進行7天加密貨幣價格預測的AI系統。該公司首席執行官克萊·柯林斯(Clay Collins)告訴Cointelegraph,這些預測僅適用于尋求預測的散戶投資者,不應視為福音。(Cointelegraph)[2020/4/23]
事實的確如此。
根據Odaily星球日報的報道,在第一個黑客盜竊完成后,這條「成功」經驗也在加密社區瘋傳,被更多用戶模仿,趁火打劫。跨鏈通訊協議Nomad的資產被洗劫一空。
可能是因為過于心急,一些用戶忘記使用馬甲偽裝,直接使用了自己的常用ENS域名,暴露無遺。目前已經有用戶開始自發退款,以求避免被起訴。
公告 | 加密策略平臺Iconomi已支持KAVA:據官方消息,加密策略移動應用/平臺Iconomi已經支持KAVA。[2020/2/20]
PART02
-項目方在部署合約時犯了什么錯導致被攻擊?
本次攻擊主要是項目方在部署合約時,把零(0x000000....)的confirmAt設置為1,導致任意一個未使用的_message都可以通過判斷,并從合約中提取出對應資產。技術分析如下:
被攻擊合約
0x5D94309E5a0090b165FA4181519701637B6DAEBA(存在漏洞利用的合約)
0x88A69B4E698A4B090DF6CF5Bd7B2D47325Ad30A3(遭受損失的金庫合約)
由于攻擊交易過多,下面依靠其中一筆攻擊交易分析為例進行闡述;
1.通過交易分析,發現攻擊者是通過調用(0x5D9430)合約中的process函數提取合約中的資金。
2.跟進process函數中,可以看到合約對_messageHash進行了判斷,當輸入的messages為0x000000....時,返回值卻是true。
3.然后跟進acceptableRoot函數,發現_root的值為零(0x000000....)時,而confirmAt等于1,導致判斷恒成立,從而攻擊者可以提取合約中的資金。
4.后續通過查看交易,發現合約在部署時,就已經初始零(0x000000....)的confirmAt為1,交易可見
PART03
-項目方還能找回被盜資金嗎?
針對跨鏈代幣橋攻擊導致損失一事,Nomad團隊表示,“調查正在進行中,已經聯系區塊鏈情報和取證方面的主要公司協助。我們已經通知執法部門,并將夜以繼日地處理這一情況,及時提供最新信息。我們的目標是識別相關賬戶,并追蹤和追回資金。”
目前,成都鏈安安全團隊正在使用鏈必追平臺對被盜資金地址進行監控和追蹤分析。
PART04
-總結:合約部署需要注意哪些問題?
針對本次事件,成都鏈安安全團隊建議:項目方在合約部署前,需要考慮配置是否合理。部署后,應測試相關功能,是否存在被利用的風險,并且聯系審計公司查看初始的參數是否合理。
自5月5日正式上線以來,波場USDD在不到一個月的時間內成功躋身全球加密市場超級新星,并創下了一系列里程碑.
1900/1/1 0:00:00簡介 Tinyram是一個簡單的RISC隨機存取機器,具有字節尋址的random-accessmemory和inputtapes.
1900/1/1 0:00:00據官方消息,OKCoinJapan將于8月29日正式開啟TRXStaking服務,其也將成為日本首家提供TRXStaking服務的加密貨幣交易所.
1900/1/1 0:00:00據官方消息,Travala.com現已新增去中心化超抵押穩定幣USDD作為支付方式,用戶可通過USDD支付旅游訂單.
1900/1/1 0:00:00區塊鏈瀏覽器TRONSCAN最新數據顯示,截至8月13日,波場TRON賬戶總數達到107,068,209,正式突破1.07億.
1900/1/1 0:00:001、基于窗口方法的優化EOS Network基金會CEO:Multichain橋的漏洞并不影響EOS用戶:金色財經報道,EOS Network基金會首席執行官Yves La Rose發推稱.
1900/1/1 0:00:00