OMA:速评：连黑客技术都没用到 Nomad 就「倒下」了

撰文：iambabywhale.eth

北京时间今日（8 月 2 日）清晨，跨链互操作性协议 Nomad 桥遭到黑客攻击，攻击发生期间 WETH 和 WBTC 以每次百万美元的速度被持续转出。据 DefiLlama 数据显示，Nomad 上近 2 亿美元的 TVL 在短时间内被攻击者「掏空」，截止发文时仅剩不到 4000 美元。

a16z crypto 应用安全团队成员 Matt Gleason 及 Paradigm 研究合伙人兼安全主管 Samczsun 在第一时间发推解释了本次攻击利用的漏洞。以下分析节选自二者的观点：

加密支付公司MoonPay已完成567万美元新一轮融资:金色财经报道，据SEC文件显示，加密支付公司MoonPay首席执行官Maximilian Crown已于1月23日向SEC备案该项目完成新一轮融资，本轮融资共筹集金额5,678,231美元。

此前报道，去年4月，MoonPay宣布融资8700万美元，歌手贾斯汀·比伯（Justin Bieber）、说唱歌手Snoop Dogg、网球选手玛丽亚·莎拉波娃（Maria Sharapova）和演员布鲁斯·威利斯（Bruce Willis）等60多位知名投资者参投。据悉，该笔融资是MoonPay A轮融资的一部分。[2023/2/2 11:41:48]

Nomad 此次被攻击是由于跨链桥的配置导致可以通过特定路径发送任何事务，错误在于 Replica 内部的「process」功能。出问题的「process」功能被设计为保证信息被证明，然后处理信息，通常情况下这个过程没有问题。

俄罗斯银行建议对NFT、智能合约进行监管:金色财经报道，俄罗斯首席金融监管机构在周一发布的一份新的咨询报告中表示，俄罗斯可以为数字证券和实用代币制定更详细的税收规则，但已经有足够的监管环境来创建一个合法的数字资产市场。该文件建议制定更详细的规则，解决数字证券和实用代币的税收问题，以及证券、债务、贵金属和宝石代币化的法律框架，并发行证明产权的NFTs。俄罗斯银行还建议将数字资产交易纳入传统股票市场基础设施。俄罗斯银行希望在12月7日前收到对该报告的意见。（coindesk）[2022/11/9 12:35:04]

Layer2协议Loopring宣布集成GameStop Wallet:6月14日消息，据Layer2协议Loopring发布的最新博客显示，Loopring现已与由美国电子游戏零售商GameStop（游戏驿站）推出的钱包GameStop Wallet集成。（medium）[2022/6/14 4:26:25]

该过程会使用「acceptableRoot」用来检查 root 是否被证明或者在当前时间之前已被确认。问题存在于 Solidity 语言中，如果一个 map 的映射键未找到会返回默认值 0，则「acceptableRoot」的参数 「_root 」将会是 0。

然而，由于合约初始状态下「_confirmedRoot」为 0，使得 0 就是一个已被确认的值（注：confirmAt = 1;）「acceptableRoot」接收一个 0 值就能通过验证。

结果，黑客正是利用该漏洞，找一笔有效交易反复发送构造好的交易数据抽取跨链桥被锁定的资金，从而导致 Nomad 上锁定的资金被几乎全数盗走。

受 Nomad 跨链桥被攻击的影响，Moonbeam 代币 GLMR 短时下跌近 10%，Evmos 代币 EVMOS 上涨超 150%。发生该情况或是由于 Moonbeam 暂时关闭 EVM 功能，以及 Nomad 作为 Evmos 与以太坊生态的主要跨链桥，被盗资金需要通过 EVMOS 作为出金渠道所致。

Evmos 官方发推称，目前正在与 Nomad 团队密切合作，并会在获得更多信息后更新进展，当下 Evmos 链运行正常。由于 Nomad 已暂停，因此用户无法将他们的 ERC20 封装资产从 Evmos 撤回到以太坊，团队会及时通知这对 Evmos 用户和拥有 Nomad 封装资产的用户有何影响。

标签：OMAMADNOMADNOMCryptoMayorNeonomad FinanceNomad ExilesFENOMY

比特币行情热门资讯