北京時間2022年8月2日,CertiK安全團隊監測到NomadBridge遭受攻擊,導致了價值約1.9億美元的損失。
合約的問題在于在initialize()函數被調用的時候,“committedRoot”被設成了0x00地址。因此,攻擊者可以通過消息的驗證,將在橋合約中的代幣轉移。
③此時函數acceptableRoot(messages)返回了true,也就是說這條message就被批準了。這是因為0x0000在初始化過程中被設置為了true。
摩根士丹利:仍預計加拿大央行將在3月加息25個基點:1月29日消息,加拿大央行在1月的會議上加息25個基點至4.5%,并暗示其將暫停加息。盡管加拿大央行指出經濟發展符合貨幣政策報告中的預期,但同樣注意到,盡管通脹有所放緩,但短期通脹預期仍處于高位。核心通脹年率仍處于5%左右。鑒于此,我行仍預計加拿大央行將在3月最后一次加息25個基點,終端利率將達4.75%,然后在2023年剩余時間里按兵不動。不過,通脹路徑和通脹壓力仍是3月議息決定的關鍵,如果3月議息會議前通脹出現令人信服的下降,那么1月的加息也就是加拿大央行最后一次加息。[2023/1/29 11:34:40]
④當這條message被批準后,攻擊者即可從橋中轉移資金。
Game Space完成超1000萬美元融資,Huobi Ventures 和 Mirana Ventures 參投:金色財經報道,全網首個GaaS(GameFi as a Service)服務平臺Game Space宣布以 1 億美元完成超 1000 萬美元融資,Huobi Ventures 和 Mirana Ventures 參投。Huobi Ventures 表示,此次投資將擴大火幣在GameFi領域的業務,未來,火幣將與 Game Space 團隊緊密合作,更好地支持整個GameFi生態的發展。據此前報道,Game Space 已宣布將兼容 EIP-4907 協議,推出可租賃的 NFT 游戲道具。(crytodaily)[2022/7/4 1:50:11]
MoonbeamBridge上轉移了0.01WBTC:?https://moonscan.io/tx/0xcca9299c739a1b538150af007a34aba516b6dade1965e80198be021e3166fe4c?
Globant成立智能支付工作室,將利用區塊鏈等技術提供服務:金色財經消息,數字原生技術服務公司Globant成立智能支付工作室(Smart Payments Studio)。該工作室提供戰略業務和技術咨詢,幫助企業分析和開發支付解決方案。通過利用元宇宙、區塊鏈和游戲化技術等,Smart Payments Studio旨在提供無縫、個性化和具有吸引力的體驗。(prnewswire)[2022/5/19 3:26:51]
○在EtheremBridge接受了100WBTC代幣轉移:https://etherscan.io/tx/0xa5fe9d044e4f3e5aa5bc4c0709333cd2190cba0f4e7f16bcf73f49f83e4a5460?
漏洞分析
在Replica合約中,“committedRoot”被錯誤地初始化為0?。
合約地址:https://etherscan.io/address/0x88a69b4e698a4b090df6cf5bd7b2d47325ad30a3
函數process通過調用函數acceptableRoot()確保messagehash能通過驗證。
函數acceptableRoot()會檢查root是否已經被proven,processed或者confirmed。
然而在初始化的交易中0x53fd92771d2084a9bf39a6477015ef53b7f116c79d98a21be723d06d79024cad,owner傳入了0x00并且它對應的`confirmAt`也會在初始化中被設為1。
因此0x00可以被當作一個`acceptableRoot`,這也可以在replica合約中查詢到https://etherscan.io/address/0xb92336759618f55bd0f8313bd843604592e27bd8。
Prove函數的實現導致了一條unprovenmessage的root是0,而0作為一個有效的confirmedroot可以通過require的檢查。攻擊者只需調用process函數就能從橋中轉移資金。
智能合約的分析和部署后合約驗證的深入分析。
Tags:ESSOOTROOROOTNecessary Genuine KeyNFTshootoutSHROOMS幣Rootkit Finance
Solana生態錢包遭大規模攻擊,已有超過9千個錢包被盜、總損失超400萬美元。Solanastatus稍早發推表示,受影響的地址似乎都曾在Slope錢包移動端中使用過,攻擊發生原因疑似與Slo.
1900/1/1 0:00:00Gate.ioDailyHODL&EarnETH#442willbelaunchedat4:00UTConJuly31statGate.io''s“HODL&Earn”.
1900/1/1 0:00:00為回饋用戶對Gate.io合約的支持,同時也為了響應眾多用戶希望能再儘快參與一場大型賽事的訴求,現開啟2022WCTCS2合約世界杯交易大賽.
1900/1/1 0:00:00市場消息 據CoinShares周報數據,上周數字資產投資產品凈流入8100萬美元,7月是今年迄今為止最強勁的月度資金流入,總計4.74億美元,幾乎糾正了6月份總計4.81億美元的所有流出.
1900/1/1 0:00:00原文作者:CarterJohnson和BiancaChan 原文編譯:PANews 盡管當下加密市場正在經歷史上最嚴酷的“寒冬”,但仍能看到市場也釋放了一些積極信號.
1900/1/1 0:00:00尊敬的XT.COM用戶:XT.COM將於2022年8月3日08:00上線XEM/USDTU本位永續合約。後續,XT.COM將會上線更多合約品種並配合相關活動,敬請期待.
1900/1/1 0:00:00