1INCH:速评:连黑客技术都没用到 Nomad 就「倒下」了

跨链桥Nomad近2亿美元TVL被几乎全数盗走,EVMOS币价短时暴涨超1.5倍。

撰文:iambabywhale.eth

北京时间今日清晨,跨链互操作性协议Nomad桥遭到黑客攻击,攻击发生期间WETH和WBTC以每次百万美元的速度被持续转出。据DefiLlama数据显示,Nomad上近2亿美元的TVL在短时间内被攻击者「掏空」,截止发文时仅剩不到4000美元。

a16zcrypto应用安全团队成员MattGleason及Paradigm研究合伙人兼安全主管Samczsun在第一时间发推解释了本次攻击利用的漏洞。以下分析节选自二者的观点:

数据:过去一周零知识区块链上的交易量和投资者存款激增:5月24日消息,DeFi用户正涌向使用“零知识证明”的基于以太坊的区块链,DefiLlama数据显示,zkSync Era、Starknet和Polygon zkEVM的活动在过去一周大幅飙升,这些链上去中心化交易所交易量过去一周分别增长了88%、48%和230%,总锁定价值(Total Value Locked,简称TVL) 过去一周增长分别增长了13%、16%和219%。[2023/5/24 15:22:47]

Nomad此次被攻击是由于跨链桥的配置导致可以通过特定路径发送任何事务,错误在于Replica内部的「process」功能。出问题的「process」功能被设计为保证信息被证明,然后处理信息,通常情况下这个过程没有问题。

Binance NFT与泰森合作推出 “Mike Tyson Golden Mystery Box”NFT:金色财经报道,据迈克·泰森在社交媒体透露,Binance NFT 已与其合作推出 5000 枚 “Mike Tyson Golden Mystery Box” NFT,发行价为 44 BUSD,目前已售罄。[2022/12/4 21:22:03]

DeFi协议总锁仓量达731.1亿美元,24小时内涨1.5%:金色财经报道,据DefiLlama数据显示,DeFi协议总锁仓量(TVL)达到731.1亿美元,24小时涨幅为1.57%。TVL排名前五分别为MakerDAO(77.9亿美元)、AAVE(56.4亿美元)、Curve(50.8亿美元)、Lido(48.2亿美元)、Uniswap(47.5亿美元)。[2022/6/21 4:42:12]

该过程会使用「acceptableRoot」用来检查root是否被证明或者在当前时间之前已被确认。问题存在于Solidity语言中,如果一个map的映射键未找到会返回默认值0,则「acceptableRoot」的参数「_root」将会是0。

1inch基金会将再分配1000万枚1INCH代币延长Gas补偿计划:5月27日消息,1inch基金会宣布向通过1inch dApp质押1INCH的以太坊用户延长Gas补偿计划,决定再分配1000万枚1INCH代币来继续该计划。

具体补偿要求为,质押100枚1INCH的用户可获得25%的Gas返还;质押1000个1INCH的用户可获得50%的Gas返还;质押1万枚1INCH的用户可获得75%的Gas返还;质押10万枚1INCH的用户可获得100%的Gas返还。每个人每月最多可退还1万美元的1INCH代币。[2022/5/27 3:46:09]

然而,由于合约初始状态下「_confirmedRoot」为0,使得0就是一个已被确认的值「acceptableRoot」接收一个0值就能通过验证。

结果,黑客正是利用该漏洞,找一笔有效交易反复发送构造好的交易数据抽取跨链桥被锁定的资金,从而导致Nomad上锁定的资金被几乎全数盗走。

受Nomad跨链桥被攻击的影响,Moonbeam代币GLMR短时下跌近10%,Evmos代币EVMOS上涨超150%。发生该情况或是由于Moonbeam暂时关闭EVM功能,以及Nomad作为Evmos与以太坊生态的主要跨链桥,被盗资金需要通过EVMOS作为出金渠道所致。

Evmos官方发推称,目前正在与Nomad团队密切合作,并会在获得更多信息后更新进展,当下Evmos链运行正常。由于Nomad已暂停,因此用户无法将他们的ERC20封装资产从Evmos撤回到以太坊,团队会及时通知这对Evmos用户和拥有Nomad封装资产的用户有何影响。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:46ms0-0:966ms