以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > MEXC > Info

驚天魔盜,近2億美金損失,Nomad Bridge攻擊事件分析_ESS

Author:

Time:1900/1/1 0:00:00

北京時間2022年8月2日,CertiK安全團隊監測到NomadBridge遭受攻擊,導致了價值約1.9億美元的損失。

合約的問題在于在initialize()函數被調用的時候,“committedRoot”被設成了0x00地址。因此,攻擊者可以通過消息的驗證,將在橋合約中的代幣轉移。

③此時函數acceptableRoot(messages)返回了true,也就是說這條message就被批準了。這是因為0x0000在初始化過程中被設置為了true。

DOGE聯創:Binance和Tether中只要有一個崩潰,加密游戲就將結束:金色財經報道,狗狗幣 DOGE 聯合創始人 Billy Markus(社交媒體名稱 Shibetoshi Nakamoto)表示,Binance和Tether中只要有一個崩潰,加密游戲就將結束。他總結稱,越多越多人意識到,過度中心化是一個“大弱點,而且當人們購買的時候就已經是這樣了” 。(cryptopotato)[2022/11/20 22:09:22]

④當這條message被批準后,攻擊者即可從橋中轉移資金。

ETH跌破1300 USDT,24H跌幅為2%:金色財經報道,行情顯示,ETH跌破1300 USDT,現報1299.79 USDT,24H跌幅為2%。[2022/10/10 10:29:33]

MoonbeamBridge上轉移了0.01WBTC:?https://moonscan.io/tx/0xcca9299c739a1b538150af007a34aba516b6dade1965e80198be021e3166fe4c?

英特爾開始交付ASIC定制芯片,Argo、GRIID、HIVE為首批客戶:6月30日消息,英特爾旗下AXG定制計算團隊的執行副總裁Raja Koduri宣布,英特爾今日已開始交付專用于挖礦的定制芯片Intel Blockscale ASIC,Argo、GRIID、HIVE等加密貨幣礦企為首批客戶。

此前在四月初,英特爾曾宣布全新的挖礦定制芯片Intel Blockscale ASIC將在今年第三季度發貨。該芯片將支持580 GH/s的算力和26 J/TH的功率。[2022/6/30 1:40:37]

○在EtheremBridge接受了100WBTC代幣轉移:https://etherscan.io/tx/0xa5fe9d044e4f3e5aa5bc4c0709333cd2190cba0f4e7f16bcf73f49f83e4a5460?

漏洞分析

在Replica合約中,“committedRoot”被錯誤地初始化為0?。

合約地址:https://etherscan.io/address/0x88a69b4e698a4b090df6cf5bd7b2d47325ad30a3

函數process通過調用函數acceptableRoot()確保messagehash能通過驗證。

函數acceptableRoot()會檢查root是否已經被proven,processed或者confirmed。

然而在初始化的交易中0x53fd92771d2084a9bf39a6477015ef53b7f116c79d98a21be723d06d79024cad,owner傳入了0x00并且它對應的`confirmAt`也會在初始化中被設為1。

因此0x00可以被當作一個`acceptableRoot`,這也可以在replica合約中查詢到https://etherscan.io/address/0xb92336759618f55bd0f8313bd843604592e27bd8。

Prove函數的實現導致了一條unprovenmessage的root是0,而0作為一個有效的confirmedroot可以通過require的檢查。攻擊者只需調用process函數就能從橋中轉移資金。

智能合約的分析和部署后合約驗證的深入分析。

Tags:ESSROOTOOTROOUSELESS價格Rootstock RSKItalian Football FederationWAROO價格

MEXC
埋伏下一個ENS?一文盤點公鏈域名協議_Domain

熊市之下以太坊去中心化域名ENS卻持續高速增長,7月份獨立地址數突破50萬,新注冊ENS域名378442個,超過此前5月創下的最高記錄,創歷史新高.

1900/1/1 0:00:00
Qommodity Asset Backed Token (QAA)_BTC

一、項目介紹 Qommodity的目標是促進人類歷史上最大的財富過渡,通過一種前所未有的方法大規模地解鎖財富的獲取.

1900/1/1 0:00:00
慢霧:2022上半年區塊鏈安全及反洗錢分析報告概覽_區塊鏈

安全及反洗錢分析報告》,聚焦于2022年上半年區塊鏈行業所發生的重大事件,主要介紹區塊鏈行業各賽道的安全狀況,延伸并提煉出上半年發生的典型安全事件以及常見攻擊手法.

1900/1/1 0:00:00
Gate.io will list CouponBay(CUP)_GAT

Gate.ioisgoingtocommenceCouponBay(CUP)tradingat08:00AM(UTC)onJuly29th.

1900/1/1 0:00:00
從七個方面分析,誰是Layer2的贏家?_ING

原文作者:JakePahor原文編譯:TechFlowintern我研究了所有與以太坊第二層解決方案相關的項目,包括廣義的L2和特定應用的L2,并從這些偉大的項目中選出了我心目中的前五名.

1900/1/1 0:00:00
W3BCloud將通過SPAC上市,合并后估值12.5億美元_ACH

8月2日消息,專為Web3和區塊鏈領域建立全球數據中心的公司W3BCloud周一宣布,將通過與特殊目的收購公司(SPAC)SocialLeverageAcquisitionCorpI合并上市.

1900/1/1 0:00:00
ads