北京时间8月2日早上,加密KOLfoobar发推称,跨链解决方案Nomad于今日凌晨遭到黑客攻击,智能合约中的WETH和WBTC正被转出,每次约价值百万美元。截至发稿前,Nomad代币桥总锁仓量只剩下3941美元,而昨天其TVL约为1.9亿美元,初步分析Nomad损失在1.9亿美元左右,建议用户暂时不要与Nomad及其相关项目交互。攻击发生后,Moonbeam正在进行的UltimateHarvestMoon活动受攻击影响暂停。跨链路由协议Multichain发推表示,在Moonbeam和Moonriver的TVL超过1.6亿美元资产安全不受影响,已暂停Moonbeam和Moonriver跨链桥,待链主网恢复交易后可安全跨链。Evmos发推称Evmos链运行正常;此外,Nomad已暂停,因此用户无法将其ERC20封装资产从Evmos撤回到以太坊,团队会及时通知这对Evmos用户和拥有Nomad封装资产的用户有何影响。Nomad官方回应称,“我们已经知道涉及Nomad代币桥的事件。我们目前正在调查,并会在我们有更新时提供更新。我们了解到冒充者正冒充Nomad并提供欺诈地址来收集资金,我们尚未提供退还过桥资金的说明,请忽略来自Nomad官方频道以外的所有频道的消息。”本次被盗的根本原因,在于Nomad官方升级智能合约时发生错误。Paradigm安全研究员samczsun表示其副本合约存在致命缺陷,一次常规升级将零哈希标记为有效根,其效果是允许在Nomad上信息;攻击者利用这一点来复制/粘贴交易,并迅速耗尽桥上的资产。“在例行升级期间,Nomad团队将可信根初始化为0x00。需要明确的是,使用零值作为初始化值是一种常见的做法。不幸的是,在这种情况下,它具有自动验证每条消息的微小副作用。这就是黑客如此混乱的原因——你不需要了解Solidity或MerkleTrees或类似的东西。你所要做的就是找到一个有效的交易,用你的地址找到/替换对方的地址,然后重新广播它。”
OKX Web3钱包集成Across跨链桥:6月16日消息,OKX Web3钱包现已集成Across跨链桥,为用户提供更多跨链选择。[2023/6/16 21:42:27]
合约设计漏洞只是问题之一,Nomad官方在这次事件中反应也相当「迟钝」,缺乏风控。在foobar发布推文时,跨链桥中依然有1.3亿美元资产,直到官方发布推文时依然有7500万美元资产,但Nomad官方却似乎没有做任何紧急动作,眼睁睁看着资产流失归零。CelerNetwork联合创始人MoDong在社群解释称,官方之所以「无动于衷」,主要是因为合约升级加上了时间锁,导致其没办法第一时间作出反应。“合约升级还有时间锁,也没有风控,所以只能干看着+自己撸自己。”实际上,在第一个黑客盗窃完成后,这条「成功」经验也在加密社区疯传,被更多用户模仿,趁火打劫。可能是因为过于心急,一些用户忘记使用马甲伪装,直接使用了自己的常用ENS域名,暴露无遗。目前已经有用户开始自发退款,以求避免被起诉。关于后续进展,Odaily星球日报也将持续关注。
Paradigm研究员:BSC跨链桥的验证方式存在BUG:10月7日消息,Paradigm研究员samczsun在社交媒体上发文表示,链上数据及相关代码显示,BSC跨链桥的验证方式存在BUG,该BUG可能允许攻击者伪造任意消息。
本次攻击中,攻击者伪造信息通过了BSC跨链桥的验证,使跨链桥向攻击者地址发送了200万枚BNB。[2022/10/7 18:41:33]
Oasis生态跨链桥EVODefi发行的USDT脱锚至0.55美元,此前被曝存在管理员后门取款功能:6月7日消息,Oasis生态跨链桥EVODefi在OasisEmerald上发行的USDT代币现已脱锚,其在VallerySwap的现价为0.55美元。据悉,此前数天,由于Valleyswap中的FUD恐慌导致该跨链桥出现大量资金流动,大多数转账是向BNB智能链发起,导致该跨链桥流动性不足因此暂停代币桥接功能。数小时前,该项目宣布恢复ETH、USDC等代币的跨链桥接功能,但USDT跨链桥接功能暂未开放,引发社区对该跨链桥USDT流动性的担忧,或由此导致部分用户抛售USDT并导致该代币脱锚。
此前在4月底,Oasis官方曾预警称,EvoDeFi跨链桥存在一个管理员后门取款功能,允许管理员从桥上转移资金,用户在使用连接EvoDefi跨链桥的ValleySwap和RimSwap等DApps时请注意风险。目前,此事件只影响VallerySwap及EVODefi,暂未影响OasisEmerald上其他生态及其他代币。[2022/6/8 4:09:23]
官网数据显示,Nomad此前提供包括以太坊、Moonbeam、MilkomedaC1、Evmos、Avalanche在内的五种区块链网络之间的跨链转账。与基于验证者的跨链桥不同,Nomad不依赖大量外部方来验证跨链通信,而是通过利用一种optimistic机制,让用户可以安全地发送消息和桥接资产,并保证任何观看的人都可以标记欺诈并保护系统。今年4月,Nomad完成2200万美元种子轮融资,由Polychain领投,1kx、Ethereal、HackVC等参投,估值为2.25亿美元。相关阅读
Celer Network宣布与Flow达成合作,以实现Flow生态资产及NFT跨链桥接:据官方消息,区块链互操作性协议Celer Network宣布与Web3底层平台Flow公链达成合作,将实现Flow生态资产及NFT与cBridge支持的链之间的跨链桥接。
在合作初始阶段,cBridge将对Flow上有原生资产的项目进行桥接,并将WETH、WBTC、DAI、Frax、USDT、UST等蓝筹资产引入Flow生态。在下一阶段,cBridge将支持Flow生态的NFT跨链桥接,如NBA Top Shot、NFL All Day和 UFC Strike等。[2022/4/7 14:10:45]
超1.5亿美元损失,跨链桥协议Nomad黑客攻击事件分析
NFT市场从去年一月份开始爆发,并在去年一年成为引领市场的热点领域。根据DuneAnalytics的数据,在今年1月时,NFT市场的周交易额达到了61.5亿美元.
1900/1/1 0:00:00在加密市场陷于疲软、风投机构纷纷放缓投资频次之际,一家新兴风投机构以高频的投资速度、夸张的投资金额吸引行业的颇多关注,它就是GEMDigital.
1900/1/1 0:00:002021年,以太坊经历了两轮比较重要的硬分叉升级。首先是在区块高度12,244,000的柏林硬分叉,升级内容包括了对合约的各种优化,涵盖Gas效率、对以太坊虚拟机读取代码方式的更新以及防范DDO.
1900/1/1 0:00:00随着DAO被预测为将可能成为“下一个大趋势”后,开始吸引越来越多投资者的注意力,包括SpaceX创始人ElonMusk、知名风投公司红杉资本、亿万富翁MarkCuban等.
1900/1/1 0:00:00过去一周,CC0备受关注。8月1日,知名加密艺术家XCOPY发布推文,宣布他的全部作品将转为CC0许可.
1900/1/1 0:00:00“君有疾在腠理,不治将恐深。”行情好时自然对病状视而不见,而行情差时Celsius终究还是申请破产了。时间来到7月15日,Celsius已向纽约法院提出破产申请.
1900/1/1 0:00:00