宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > Polygon > 正文

跨链桥Nomad被黑,有用户“实名”趁火打劫

作者:

时间:1900/1/1 0:00:00

北京时间8月2日早上,加密KOLfoobar发推称,跨链解决方案Nomad于今日凌晨遭到黑客攻击,智能合约中的WETH和WBTC正被转出,每次约价值百万美元。截至发稿前,Nomad代币桥总锁仓量只剩下3941美元,而昨天其TVL约为1.9亿美元,初步分析Nomad损失在1.9亿美元左右,建议用户暂时不要与Nomad及其相关项目交互。攻击发生后,Moonbeam正在进行的UltimateHarvestMoon活动受攻击影响暂停。跨链路由协议Multichain发推表示,在Moonbeam和Moonriver的TVL超过1.6亿美元资产安全不受影响,已暂停Moonbeam和Moonriver跨链桥,待链主网恢复交易后可安全跨链。Evmos发推称Evmos链运行正常;此外,Nomad已暂停,因此用户无法将其ERC20封装资产从Evmos撤回到以太坊,团队会及时通知这对Evmos用户和拥有Nomad封装资产的用户有何影响。Nomad官方回应称,“我们已经知道涉及Nomad代币桥的事件。我们目前正在调查,并会在我们有更新时提供更新。我们了解到冒充者正冒充Nomad并提供欺诈地址来收集资金,我们尚未提供退还过桥资金的说明,请忽略来自Nomad官方频道以外的所有频道的消息。”本次被盗的根本原因,在于Nomad官方升级智能合约时发生错误。Paradigm安全研究员samczsun表示其副本合约存在致命缺陷,一次常规升级将零哈希标记为有效根,其效果是允许在Nomad上信息;攻击者利用这一点来复制/粘贴交易,并迅速耗尽桥上的资产。“在例行升级期间,Nomad团队将可信根初始化为0x00。需要明确的是,使用零值作为初始化值是一种常见的做法。不幸的是,在这种情况下,它具有自动验证每条消息的微小副作用。这就是黑客如此混乱的原因——你不需要了解Solidity或MerkleTrees或类似的东西。你所要做的就是找到一个有效的交易,用你的地址找到/替换对方的地址,然后重新广播它。”

跨链桥Poly Network项目被攻击,用户请注意资产安全:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Poly Network项目被攻击,用户请注意资产安全,Beosin正在统计被盗金额。[2023/7/2 22:13:04]

Electron Labs开放跨链桥测试网早期Beta测试申请:1月8日消息,跨链协议技术公司ElectronLabs发推称,此前从NEAR收到一笔赠款来利用ZK证明构建跨链桥,目前已开放Electron测试网桥“限制数量”的早期Beta测试申请。开发者、跨链用户、流动性提供者、ZK爱好者都可以申请。

Electron Labs正在以太坊和NEAR之间建立去中心化跨链桥,该协议使用链上轻客户端和零知识来验证交易的有效性。[2023/1/8 11:01:16]

合约设计漏洞只是问题之一,Nomad官方在这次事件中反应也相当「迟钝」,缺乏风控。在foobar发布推文时,跨链桥中依然有1.3亿美元资产,直到官方发布推文时依然有7500万美元资产,但Nomad官方却似乎没有做任何紧急动作,眼睁睁看着资产流失归零。CelerNetwork联合创始人MoDong在社群解释称,官方之所以「无动于衷」,主要是因为合约升级加上了时间锁,导致其没办法第一时间作出反应。“合约升级还有时间锁,也没有风控,所以只能干看着+自己撸自己。”实际上,在第一个黑客盗窃完成后,这条「成功」经验也在加密社区疯传,被更多用户模仿,趁火打劫。可能是因为过于心急,一些用户忘记使用马甲伪装,直接使用了自己的常用ENS域名,暴露无遗。目前已经有用户开始自发退款,以求避免被起诉。关于后续进展,Odaily星球日报也将持续关注。

报告:DeFi领域中约50%的黑客攻击与跨链桥相关:金色财经报道,根据Token Terminal的一份报告,DeFi领域中大约50%的攻击发生在跨链桥上。在过去两年的时间里,黑客利用跨链桥上的漏洞盗取超25亿美元。与其他安全漏洞相比,这个数额是巨大的,比如在此期间的DeFi借贷黑客攻击(7.18亿美元)和去中心化交易所的漏洞(3.62亿美元)。

Immunefi首席执行官和安全专家Mitchell Amador解释说,DeFi领域的一些开发者缺乏必要的知识来保护这种复杂的机制。Amador称:“许多开发者通过简单地复制和粘贴其他项目的代码来启动项目。当其中一个项目有漏洞时,其他项目通常也有这个漏洞。开源智能合约,由于所有人都可以看到和访问,很容易吸引黑客研究它们,发现它们的漏洞,并利用它们。”(Cointelegraph)[2022/10/20 16:31:25]

LayerZero旗下跨链桥Stargate Finance曾出现漏洞,目前已修复:3月29日消息,区块链互操作性协议LayerZero联合创始人兼CTO@ryanzarick发推透漏,他们在研究Optimism团队警告的一次无风险攻击的过程中发现,旗下跨链桥Stargate Finance的验证库存在潜在风险,并在上周部署了新的验证库,目前已完成更新和验证。@ryanzarick称该问题是此前多次审计中的一个疏漏。[2022/3/29 14:24:15]

官网数据显示,Nomad此前提供包括以太坊、Moonbeam、MilkomedaC1、Evmos、Avalanche在内的五种区块链网络之间的跨链转账。与基于验证者的跨链桥不同,Nomad不依赖大量外部方来验证跨链通信,而是通过利用一种optimistic机制,让用户可以安全地发送消息和桥接资产,并保证任何观看的人都可以标记欺诈并保护系统。今年4月,Nomad完成2200万美元种子轮融资,由Polychain领投,1kx、Ethereal、HackVC等参投,估值为2.25亿美元。相关阅读

超1.5亿美元损失,跨链桥协议Nomad黑客攻击事件分析

标签:MADNOMOMANOMADmadog币价格biconomy币是那个国家的CarnomalyNOMAD价格

Polygon热门资讯
深度研报:全方位解析ReFi的类型特性、生态项目及通证经济学

前言——本文全面介绍ReFi的定义、类型、特性、生态内的优秀项目、ReFi通证经济学设计原则以及需要注意的问题、ReFi投资方法论等等,因而文章篇幅较长,读者可自行选择感兴趣的部分阅读.

1900/1/1 0:00:00
从25个DeFi协议,看未来7大趋势

原文作者:Ignes原文编译:白泽研究院2022年的加密熊市来得突然,并且如火如荼。然而,大多数DeFi代币的状况甚至比BTC或ETH还要糟糕。至少自2020年10月以来,DeFi代币兑ETH的价格一直在下跌.

1900/1/1 0:00:00
托管风波下,Magic Eden的Solana NFT交易宝座难保?

在SolanaNFT领域,没有比MagicEden更大的玩家了。该市场于去年秋天启动,通常占据Solana所有交易总量的90%或以上。在今年6月的最新一轮风投融资中,它的估值已达到16亿美元.

1900/1/1 0:00:00
StarkNet发币如何改变L2格局?

TL;DR StarkNet发币或将加速Arbitrum发币进程。参考Optimism发币加速生态发展期间相关数据超过Arbitrum的历史经验,StarkNet可能也同样会在一段时期内赢得对Arbitrum的竞争,加剧Arbitru.

1900/1/1 0:00:00
OP Research:混乱与秩序,加密行业严冬里的守望

先讲一个《三体》里的寓言故事:一个农场里有一群火鸡,农场主每天中午十一点来给它们喂食。火鸡中的一名科学家观察这个现象,一直观察了近一年都没有例外,于是它也发现了自己宇宙中的伟大定律:“每天上午十一点,就有食物降临.

1900/1/1 0:00:00
Nansen:加密借贷入门指南

本文来自Nansen,由Odaily星球日报译者Katie辜编译。 随着Web3的蓬勃发展,加密借贷正成为加密玩家获得数字货币敞口、产生被动收入和加强投资组合的重要策略.

1900/1/1 0:00:00