MAD:速評：連黑客技術都沒用到 Nomad 就「倒下」了_Nanomatic

撰文：iambabywhale.eth

北京時間今日（8 月 2 日）清晨，跨鏈互操作性協議 Nomad 橋遭到黑客攻擊，攻擊發生期間 WETH 和 WBTC 以每次百萬美元的速度被持續轉出。據 DefiLlama 數據顯示，Nomad 上近 2 億美元的 TVL 在短時間內被攻擊者「掏空」，截止發文時僅剩不到 4000 美元。

a16z crypto 應用安全團隊成員 Matt Gleason 及 Paradigm 研究合伙人兼安全主管 Samczsun 在第一時間發推解釋了本次攻擊利用的漏洞。以下分析節選自二者的觀點：

LianGo Protocol關聯EOA錢包地址已將5300枚BNB轉至Tornado Cash:金色財經報道，據CertiK監測，EOA賬戶地址 (0xf5bf...) 已將資金轉至Tornado Cash。該EOA錢包與LianGo Protocol惡意利用事件有關。

目前，共有約5300枚BNB（約160萬美元）被轉入Tornado Cash。[2023/2/19 12:16:01]

Nomad 此次被攻擊是由于跨鏈橋的配置導致可以通過特定路徑發送任何事務，錯誤在于 Replica 內部的「process」功能。出問題的「process」功能被設計為保證信息被證明，然后處理信息，通常情況下這個過程沒有問題。

Reddit Collectible Avatar總量突破300萬:11月10日消息，據Dune Analytics數據顯示，Reddit 于 Polygon 網絡發行的 NFT 系列 Reddit Collectible Avatar 總量已突破 300 萬，截至目前為 3,005,145 個。

此外，Reddit Avatar NFT累計銷售額已達到 10,999,155 美元，總銷售量 36,128 筆，Avatar NFT 持有地址總量為 2,896,784 個，單一 NFT 持有地址為 2,867,524 個。[2022/11/10 12:45:13]

CryptoDickbutts系列NFT近24小時交易額漲幅近65倍:金色財經報道，據NFTGo.io數據最新數據顯示，CryptoDickbutts系列NFT總市值為16,175.77ETH，過去24小時的交易額為427.03 ETH，漲幅達6,503.20%；地板價為2.89ETH，持有NFT地址總數為1760個。[2022/10/31 11:59:40]

該過程會使用「acceptableRoot」用來檢查 root 是否被證明或者在當前時間之前已被確認。問題存在于 Solidity 語言中，如果一個 map 的映射鍵未找到會返回默認值 0，則「acceptableRoot」的參數 「_root 」將會是 0。

然而，由于合約初始狀態下「_confirmedRoot」為 0，使得 0 就是一個已被確認的值（注：confirmAt = 1;）「acceptableRoot」接收一個 0 值就能通過驗證。

結果，黑客正是利用該漏洞，找一筆有效交易反復發送構造好的交易數據抽取跨鏈橋被鎖定的資金，從而導致 Nomad 上鎖定的資金被幾乎全數盜走。

受 Nomad 跨鏈橋被攻擊的影響，Moonbeam 代幣 GLMR 短時下跌近 10%，Evmos 代幣 EVMOS 上漲超 150%。發生該情況或是由于 Moonbeam 暫時關閉 EVM 功能，以及 Nomad 作為 Evmos 與以太坊生態的主要跨鏈橋，被盜資金需要通過 EVMOS 作為出金渠道所致。

Evmos 官方發推稱，目前正在與 Nomad 團隊密切合作，并會在獲得更多信息后更新進展，當下 Evmos 鏈運行正常。由于 Nomad 已暫停，因此用戶無法將他們的 ERC20 封裝資產從 Evmos 撤回到以太坊，團隊會及時通知這對 Evmos 用戶和擁有 Nomad 封裝資產的用戶有何影響。

Tags：MADOMANOMADNOMMad Bull TokenCryptoMayorNeonomad FinanceNanomatic

PEPE幣