北京时间8月2日凌晨,NomadBridge遭受攻击,导致了价值约1.9亿美元的损失。其副本合约存在致命缺陷,一次常规升级将零哈希标记为有效根,其效果是允许在Nomad上信息。攻击者利用这一点来复制粘贴交易,在短短一夜之间,Nomad跨链桥上资产被迅速耗尽。
而安全机构派盾发现,本次攻击的黑客部分已有前科。其中一尾号“ab49”的地址曾是RariCapital被盗事件的黑客,在此次Nomad攻击中获利约300万美元。在此次被盗事件中,有大量普通用户的地址参与,其参与者远多于此前同类事件,且其中存在大量可与KYC地址产生关联的地址。
GoPlus与慢雾提出合约可限时授权EIP提案,以降低遗留授权导致的被盗风险:10月6日消息,安全机构GoPlus与慢雾提出可限时授权的EIP标准,以降低遗留授权导致的被盗风险。标准中提到,包括TransitSwap事件在内,反复发生的资产盗窃是由于用户对合约的过度授权造成的,如果合约出错,所有没有召回授权的用户都会受到攻击。
GoPlus与慢雾提出的解决方案可以为ERC-20Token设置Approv,以在默认时间段内自动撤回授权,或者使用自定义的时间限制来召回授权并及时避免风险,并提交了一份新的EIP,目前正在由以太坊研究部门审查。[2022/10/6 18:41:11]
正如Terra研究员FatMan所言,“任意一个人都能从Nomad桥上抢走3千到2万美元:所有人要做的就是复制第一个黑客的交易并更改地址,然后点击通过Etherscan发送。这是以真正的加密方式首次发生的去中心化抢劫。”
Nomad追回近2000万美元的被盗资金:金色财经消息,Nomad在周一遭遇黑客攻击,导致1.9亿美元的加密货币损失,该公司昨日在推特上宣布,返还至少90%总资金的黑客可能会被考虑获得达10%的赏金。到目前为止,这些资金中的1940万美元已经被送回了协议。
Nomad创建了一个恢复钱包地址,恳请 \"一直在保护ETH/ERC-20代币的白帽黑客和道德研究者朋友 \"归还损失的数字资产。该钱包是与托管银行Anchorage Digital联合设立的。[2022/8/5 12:03:36]
大量白帽黑客和普通用户的参与,让本次“攻击”事件的局势变得更为颇为复杂。项目方可以判断出部分Web3的用户的Web2身份。针对被攻击一事,Nomad团队表示,“调查正在进行中,已经联系区块链情报和取证方面的主要公司协助。我们已经通知执法部门,并将夜以继日地处理这一情况,及时提供最新信息。我们的目标是识别相关账户,并追踪和追回资金。”
动态 | 受母公司系统牵连被盗 BitpointCEO明日与Bitpoint Japan恰谈赔偿事宜:BitpointCEO郭雅宁于7月31日就本月12日发生的Bitpoint Japan被盗事件表示:“如果不能保证赔偿,将立即提起诉讼。”受被盗事件影响,Bitpoint已于7月23日停止服务,再次开放的时间目前还未定,并且用户的资金也不能取出。郭雅宁计划8月1日与Bitpoint Japan的社长小田玄纪会面,以要求赔偿。郭雅宁表示:“要求赔偿的不是Bitpoint Japan被盗的部分,而是向方面赔偿价值6亿台币的加密货币和1.5亿美元的法币。” 据相关人士表示,Bitpoint Japan和Bitpoint使用的是同一个系统,Bitpoint于4月底被盗,当时要求日本那边改善系统,而系统始终没有被改善。(Cointelegraph)[2019/7/31]
但即便是用户主动返还,风险依然是多元的。
动态 | Bitfinex回应信息被盗:确认平台没有安全漏洞:Bitfinex刚刚回应CCN的报道称:我们向客户保证,已经意识到这一问题,并且可以确认我们的平台没有安全漏洞。今日CCN曾报道,在一个名为“Dread”的暗网市场上,有人声称攻击了Bittrex、Poloniex、Bitfinex等大型交易所,并出售交易所用户的KYC资料。[2019/1/21]
被盗当日,坊间曾一度传出多个地址要求攻击者返还被盗资金,但事后这些地址均被Nomad官方证伪。8月2日早间,Nomad官方表示,“已知晓有冒充并提供欺诈性地址来资金的行为。我们尚未提供返还被盗跨链资金的说明。请忽略除Nomad官方渠道以外的所有渠道的通信。”
所幸的是,不久后官方即公布了正确的返还地址。
8月3日,Nomad在推特上公布NomadBridge资金返还流程,呼吁白帽黑客、道德安全研究员将资金发送到官方以太坊钱包地址。据悉,Nomad正在与区块链分析公司TRMLabs以及执法部门合作,以跟踪资金流动并识别收款方钱包,从而协调被盗资金返还工作。
据欧科云链OKLink多链浏览器显示,截止至本文发布时,已有约价值1650万美元的资产已被返还,尽管这一数据远低于被盗资产,但仍是一个良好的开端。
有人返还,也有人对这笔“不义之财”欣然接受。
派盾监测显示,Nomad被攻击事件中,约41个地址获利约1.52亿美元,包括约7个MEV机器人、RariCapital黑客和6个白帽黑客,约10%的ENS域名地址获利610万美元。在利用漏洞获利后,直接进行交易的地址数达739个,占比近60%。
而其中除少部分资金被返还外,更多资产均被Tornado转移。派盾监测显示,截至今日,已有约1100万美元Nomad被盗资金转入TornadoCash。这些攻击者包括地址0xC994...0cf599、RariCapital被盗事件黑客相关地址0x72ccbb和0x76f455。
公链支持数量成为了用户跨链的主流选择。
大量跨链桥协议凭借着产品的便捷性获得了大量TVL,但与此同时,高额的锁仓也成为了黑客们垂涎的目标。去年夏季,PolyNetwork发生了加密世界历史上最大黑客攻击事件,约6.1亿美元资产被盗走。
今年年初,VitalikButerin也曾发文警告,跨链存在很大安全问题。跨链这一方案并不理想,因为它们增加了资产转移过程中的安全风险。这种对安全性的权衡是因为资产的攻击向量在更广泛的网络表面积上增加,因为它在越来越多的链和具有不同安全原则的dApp中移动。
而本次Nomad事件则更为荒诞,黑客并未通过多么“高明”的手段发起攻击,仅仅只是利用了官方所遗漏的一个漏洞,且这一“攻击”人人皆可复制。
对于广大普通用户来说,跨链桥的安全性始终是“薛定谔的”:当一个跨链桥没有被盗时,我们不知道它是否安全,只有当跨链桥被盗之后,我们才知道它不安全。
在当前各种新兴公链百家争鸣,一个安全且高效的跨链桥设计仍是加密世界亟待解决的技术挑战。或许随着行业的发展,我们可以看到更好的解决方案提出。
据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,ReaperFarm项目遭到黑客攻击,成都链安安全团队发现由于_withdraw中owner地址可控且未作任何访问控制.
1900/1/1 0:00:00原文作者:CarterJohnson和BiancaChan原文编译:PANews尽管当下加密市场正在经历史上最严酷的“寒冬”,但仍能看到市场也释放了一些积极信号.
1900/1/1 0:00:00DearValuedUsers,CandyDropislaunchingPROMonAugust?2,2022.Registrationperiod:?PROM:11:00(UTC)Aug?2.
1900/1/1 0:00:00为什么说只有区块链能真正让消费者和企业之间建立良性循环,实现共赢!admin?1小时前?新闻?阅读12限于篇幅,我们通过好几篇文章一步一步讲解了消费商系统,消费资本论,不仅解释了相关的概念.
1900/1/1 0:00:00Gate.ioDailyHODL&EarnUSDG#445willbelaunchedat4:00UTConAugust6thatGate.io''s“HODL&Earn”.
1900/1/1 0:00:00TheGate.iobi-weeklyreportbringsyoualltheupdatesonthehottesteventsandnewdevelopmentsonGate.
1900/1/1 0:00:00