8月2日,跨链桥协议Nomad遭遇攻击,超过1.5亿美元的用户资金被黑客转移,Paradigm合伙人samczsun对此安全事件进行了分析。Nomad刚刚在遭受Web3有史以来最混乱的一次黑客攻击中损失了1.5亿美元。那这到底是如何发生的,其根本原因是什么?请允许我带你们到这次攻击事件的幕后。
这一切都始于@officer_cia在ETHSecurity电报群频道中分享的@spreekaway推文,虽然我当时不知道发生了什么,但离开Nomad跨链桥的资产数量显然不是一个好的迹象。
DeFiBox宣布与ONTO钱包达成深度战略合作:据官方消息,近日,DeFiBox宣布与去中心化跨链钱包ONTO达成深度战略合作。通过DeFiBox提供的数据支持,用户可直接通过ONTO钱包进行挖矿项目综合管理,并查看挖矿收益,可覆盖用户在以太坊、HECO、BSC和OKEx Chain等多条公链上的链上数据。
DeFiBox和ONTO表示,此次合作将有利于双方巩固各自优势,推动DeFi生态发展壮大,后续双方还将进一步展开更多深入合作。[2021/4/27 21:03:57]
我的第一个想法是代币的小数点有一些配置错误。毕竟,这座跨链桥似乎在进行“发送0.01WBTC,返还100WBTC”的促销活动。
浙江省水利厅:将区块链等技术与水利业务深度融合:金色财经消息,近日,浙江省水利厅下发《关于进一步加快推进浙江省水管理平台建设的通知》。《通知》要求,要强化组织领导,规范工作程序,强化工作指导和和技术保障,全力推进水管理平台建设的各项工作;要推动示范引领,将区块链、北斗导航、人工智能、5G等技术与水利业务深度融合,提高水利业务系统智能决策的水平,推进通用性强的地方优秀应用在全省推广使用。[2020/4/26]
然而,在Moonbeam网络上进行了一些痛苦的手动挖掘工作之后,我确认Moonbeam交易确实跨链出了0.01WBTC,但不知何故,以太坊交易跨链出的资产是100WBTC。https://moonscan.io/tx/0xcca9299c739a1b538150af007a34aba516b6dade1965e80198be021e3166fe4chttps://etherscan.io/tx/0xa5fe9d044e4f3e5aa5bc4c0709333cd2190cba0f4e7f16bcf73f49f83e4a5460
动态 | 南天信息:未来区块链应用场景开发广度和深度取决于客户需求:南天信息(000948.SZ)在互动平台上回答投资者提问时表示,公司目前积极关注并研究区块链等相关技术的应用场景开发,有能力根据客户需求开发相关产品或提供相关解决方案,未来区块链应用场景开发的广度和深度取决于客户的需求,应用规模和范围尚存在不确定性。[2020/2/27]
此外,WBTC跨链交易实际上并没有证明什么。它只是直接调用了`process`,可以说,能够在不首先证明的情况下处理消息是非常不好的
声音 | 经济日报:推进区块链健康稳步发展,必须引导区块链技术与实际应用场景深度融合:\u202811月8日,经济日报刊文“区块链:脚踏实地走向光明未来”。文章表示,当前,区块链的关注热度起来了,但区块链行业的发展还需要静下心来,踏踏实实进行技术探索,才能实现区块链技术和产业创新发展,实现区块链在数字经济时代应有的价值,占据以区块链为代表的新时代互联网科技制高点。推进区块链健康稳步发展,必须继续严厉打击投机行为,必须引导区块链技术与实际应用场景深度融合。[2019/11/8]
这个时候,有两种可能性,要么是在较早的区块中单独提交了证明,要么是Replica合约存在严重的漏洞。但是,绝对没有迹象表明最近有任何事已被证明。
那只剩下了一种可能性,Replica合约中存在着致命漏洞。那到底是怎么回事呢?快速查看后表明,提交的消息必须属于可接受的根,否则,第185行的检查将会失败。
幸运的是,有一种简单的方法可以检查这个假设。我知道未经证明的消息根将是0x00,因为消息将未初始化。我所要做的就是检查合约是否会接受这一点。
哎……
事实证明,在例行升级期间,Nomad团队将可信根初始化为0x00。需要明确的是,使用零值作为初始化值是一种常见的做法。不幸的是,在这种情况下,它有一个很小的副作用,即自动验证每个消息。
这就是黑客行为如此混乱的原因,你不需要了解Solidity或Merkle树之类的东西,你所要做的就是找到一笔有效的交易,用你的地址查找/替换另一个人的地址,然后重新广播它。总的来说,一次例行升级将零哈希标记为有效根,其效果是允许在Nomad上消息,攻击者滥用此功能来复制/粘贴交易,并在一场疯狂的混战中迅速耗干了这座跨链桥的资金。译者注:此次Nomad跨链桥的黑客攻击,Moonbeam和evmos这两条公链的用户会受到较大影响,其中,Moonbeam涉及的跨链资金相对较大。这次事件再次提醒了我们跨链桥的风险,用户在使用跨链桥后,应尽量避免持有跨链资产,而应尽快兑换成区块链的原生资产,并且以太坊主链的原生资产安全性要高于其他链。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。