慢雾:Nomad桥攻击源于Replica合约可信根被设为0x0,且在修改时未将旧根失效_NOMAD:LIC

据慢雾区消息,跨链互操作协议Nomad桥遭受黑客攻击,导致资金被非预期的取出。慢雾安全团队对于Nomad桥攻击事件进行了简析:1.在Nomad的Replica合约中,用户可以通过send函数发起跨链交易,并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot检查用户提交的消息必须属于是可接受的根,其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。2.项目方在进行Replica合约部署初始化时,先将可信根设置为0,随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0,这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。3.因此攻击者可以直接构造任意消息,由于未经过prove因此此消息映射返回的根是0,而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效,导致了攻击者任意构造的消息可以正常执行,从而窃取Nomad桥的资产。

Web3技术平台Growfitter获Shark Tank投资人投资:金色财经报道,Web3 激励性健康保险技术平台Growfitter 宣布在投资类节目 Shark Tank 上获得了 boAT 公司联创 Aman Gupta 的投资,具体金额暂未披露,仅表示迄今融资总金额达到 150 万美元。此外,Growfitter 还表示和 NEAR Protocol 达成合作,旨在进一步扩大全球业务并加速推出原生代币。据此前报道,Growfitter 与今年 8 月完成 50 万美元pre-A 轮融资,Venture Catalysts 和 Baksh Capital 领投。(newspatrolling)[2022/11/23 8:01:06]

综上,本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0,且在进行可信根修改时并未将旧根失效,导致了攻击可以构造任意消息对桥进行资金窃取。

ETP提供商Granite Shares推出比特币ETP:金色财经报道,ETP提供商Granite Shares通过推出23种新产品来响应不断增长的需求,其中包括在伦敦证券交易所上市的第一款Spotify和Micro Strategy 3x Long和3x ShortETP。在伦敦上市的新ETP包括3x Long和3x Short ETP,专注于Palantir、AMD和Spotify等美国科技巨头以及中国科技巨头阿里巴巴。Zoom有2x长ETP和2x短ETP。其他领域包括大众汽车,大众汽车正在扩展到电动汽车和与加密相关的ETP,包括Coinbase、MicroStrategy和Block(Square)。(finextra)[2022/10/14 14:28:01]

派盾:Charli3代币受Nomad攻击事件影响已下跌91%:8月2日消息,派盾监测显示,Charli3(C3)代币价格已经下跌91%。Charli3官方称,受Nomad Bridge攻击事件影响,其ERC20代币的流动性非常有限。现在不要购买C3。团队通过在Nomad桥上仅提供200万C3 CNT来限制风险。Charli3正在与Iagon、GeroWallet、CardStarter等其他受影响的团队合作,并试图解决问题。[2022/8/2 2:52:55]

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金宝趣谈

[0:0ms0-3:905ms