惊天魔盗，近2亿美金损失，Nomad Bridge攻击事件分析

北京时间2022年8月2日，CertiK安全团队监测到NomadBridge遭受攻击，导致了价值约1.9亿美元的损失。

合约的问题在于在initialize()函数被调用的时候，“committedRoot”被设成了0x00地址。因此，攻击者可以通过消息的验证，将在桥合约中的代币转移。

③此时函数acceptableRoot(messages)返回了true，也就是说这条message就被批准了。这是因为0x0000在初始化过程中被设置为了true。

瑞信CEO：硅谷银行信用风险敞口不大:金色财经报道，瑞信CEO：硅谷银行信用风险敞口不大。瑞信CEO表示该行将裁员8%。

行情显示，瑞士信贷(CS.N)盘前走低，跌幅扩大至5.5%。[2023/3/14 13:03:17]

④当这条message被批准后，攻击者即可从桥中转移资金。

MoonbeamBridge上转移了0.01WBTC:?https://moonscan.io/tx/0xcca9299c739a1b538150af007a34aba516b6dade1965e80198be021e3166fe4c?

香港虚拟资产管理公司Artifact Labs将推出泰坦尼克号NFT和“Titanic DAO”:2月22日消息，香港证监会批准的虚拟资产管理公司Artifact Labs宣布与皇家邮轮泰坦尼克号公司的法律事务子公司RMS泰坦尼克公司（RMS Titanic，Inc.）达成合作，将基于泰坦尼克号回收的大约5,500件实物文物推出NFT系列，此外Artifact Labs 还将推出“泰坦尼克号DAO”，通过社区治理管理未来泰坦尼克号遗址潜水探险、教育计划开发、数字内容和纪录片、研究计划的提案。

Artifact Labs是一个多链NFT生态系统，由《南华早报》剥离了其基于区块链的NFT业务而成立，主要帮助将包括学校和博物馆在内的组织将财产变成数字藏品。[2023/2/22 12:22:13]

○在EtheremBridge接受了100WBTC代币转移：https://etherscan.io/tx/0xa5fe9d044e4f3e5aa5bc4c0709333cd2190cba0f4e7f16bcf73f49f83e4a5460?

研究表明，以太坊上超过300亿美元的NFT交易量是虚拟交易:12月25日消息，根据匿名研究员hildobby的分析，2022 年以太坊上的 NFT 总交易量中，虚拟交易量占一半以上（58%）。该策略在 1 月达到顶峰，虚拟交易量占当月的 NFT 总交易量的 80% 以上。

研究人员使用四个过滤器来剔除最有可能指向虚拟交易的奇怪交易行为。首先，他们过滤掉了同一钱包地址之间明显的 NFT 交易。其次，他们研究了两个不同钱包地址之间同一 NFT 的来回交易，这是最常见的虚拟交易策略之一。第三，如果一个钱包地址购买了同一个 NFT 三次或更多次，由于这种情况不太可能被标记为虚拟交易。最后，如果 NFT 交易中的买家和卖家的钱包最初是由同一个钱包资助的，那么很明显他们之间存在联系，因此被标记为虚拟交易。hildobby 将虚拟交易活动的增加归因于 NFT 市场之间争夺交易量市场份额的竞争加剧。[2022/12/25 22:06:44]

漏洞分析

在Replica合约中，“committedRoot”被错误地初始化为0?。

合约地址：https://etherscan.io/address/0x88a69b4e698a4b090df6cf5bd7b2d47325ad30a3

函数process通过调用函数acceptableRoot()确保messagehash能通过验证。

函数acceptableRoot()会检查root是否已经被proven,processed或者confirmed。

然而在初始化的交易中0x53fd92771d2084a9bf39a6477015ef53b7f116c79d98a21be723d06d79024cad，owner传入了0x00并且它对应的`confirmAt`也会在初始化中被设为1。

因此0x00可以被当作一个`acceptableRoot`，这也可以在replica合约中查询到https://etherscan.io/address/0xb92336759618f55bd0f8313bd843604592e27bd8。

Prove函数的实现导致了一条unprovenmessage的root是0，而0作为一个有效的confirmedroot可以通过require的检查。攻击者只需调用process函数就能从桥中转移资金。

智能合约的分析和部署后合约验证的深入分析。

标签：NFTESSROOTOOTNFTD币Vanesseoneroot币局gROOT价格

比特币热门资讯