北京時間8月2日,成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示,跨鏈通訊協議Nomad遭遇攻擊,黑客獲利約1.5億美元。截止發稿前,根據DeFiLlama數據顯示,Nomad代幣橋中只剩下約5900美元左右。
關于本次攻擊事件的來龍去脈,成都鏈安安全團隊第一時間進行了分析。
PART01?
-
加密市場中首次發生的去中心化搶劫?
首先,我們先來認識本次故事主角——Nomad。
Nomad自稱能提供安全的互操作性解決方案,旨在降低成本并提高跨鏈消息傳遞的安全性,與基于驗證者的跨鏈橋不同,Nomad不依賴大量外部方來驗證跨鏈通信,而是通過利用一種optimistic機制,讓用戶可以安全地發送消息和橋接資產,并保證任何觀看的人都可以標記欺詐并保護系統。
Lido RockLogic GmbH節點運營商發生了11次罰沒,總損失約20ETH:4月13日消息,流動性質押協議Lido發文稱,RockLogic GmbH節點運營商發生了11次罰沒(slash),Lido DAO貢獻者和RockLogic正在調查;目前,預計總損失約為20ETH或約3%的平均每日協議獎勵;問題似乎得到了遏制,根本原因正在調查中,完整的更新將在稍后發布。[2023/4/13 14:02:03]
而在4月13日,他們也以2.25億美元估值完成高達2200萬美元的種子輪融資,領投方為Polychain。對于一家初創項目而言,數千萬美元種子輪融足可謂贏在起跑線上,但是本次攻擊之后,不知道項目方會如何處理與“自救”。
Nomad官方推特表示,已得知此事,目前正在調查。
一月鏈上漏洞利用等黑客攻擊總計11起,損失約1460萬美元:金色財經報道,據Dapprader數據顯示,2023年1月漏洞利用等區塊鏈攻擊事件減少到了11起,造成總損失1460萬美元。漏洞利用攻擊大多發生在BNB Chain上,記錄在案的黑客事件有四起,其中最大的漏洞利用攻擊發生在Heco網絡上的LendHub借貸協議上,造成約600萬美元的損失,該漏洞存在于lBSV合約復制中,允許攻擊者將資金存入舊版本并從新市場借款,通過利用鑄幣和贖回流程將被盜資產轉移到以太坊和Optimism等其他區塊鏈。
第二大漏洞利用攻擊是Arbitrum網絡上的GMX協議,造成280萬美元的損失。與往年相比, 2023 年1月因黑客鏈上攻擊造成的損失金額相對較低,也標志著區塊鏈安全正在逐漸向好。[2023/2/6 11:49:35]
關于本次事件,在Web3領域,卻引起了爭議。
報告:2022年Q3區塊鏈領域主要攻擊事件超37起,總損失約4億504萬美元:金色財經報道,據Beosin的2022年Q3全球區塊鏈生態安全報告,2022年第三季度共監測到區塊鏈生態領域主要攻擊事件超37起,總損失約4億504萬美元,較今年第二季度的7億1834萬美元下降約43.6%。較去年第三季度同期損失(10億零258萬美元)下降約59.6%。2022年1-9月,區塊鏈生態領域因攻擊事件損失的總金額已達約23億1791萬美元。
從時間上來看,7月攻擊事件大幅減少,為2022年以來攻擊損失金額最少的一個月。8、9月黑客活躍程度大幅增加。
從被攻擊項目類型來看,92%的損失金額來自跨鏈橋和DeFi項目。37起攻擊里,DeFi項目占了22次。
從鏈平臺來看,Q3季度Ethereum上損失金額達3億7428萬美元,占到總損失的92%。被攻擊頻率最高的鏈為BNB Chain,達到了16次。
從攻擊手法來看,92%的損失金額源于合約漏洞利用和私鑰泄露。
從資金流向來看,約2億420萬美元的被盜資金流入了Tornado Cash,占該季度被盜資金的約50.4%。本季度僅有約4%的被盜資金被追回。
從審計情況來看,被攻擊的項目中,僅有40%的項目經過了審計。[2022/10/28 11:51:47]
Terra研究員FatMan在推特上對Nomad遭遇攻擊事件發表評論稱:“在公共Discord服務器上彈出的一條消息稱,任意一個人都能從Nomad橋上搶了3千到2萬美元:所有人要做的就是復制第一個黑客的交易并更改地址,然后點擊通過Etherscan發送。這是在真正的加密市場中首次發生的去中心化搶劫。”?
安全團隊:LV PLUS項目再次發生Rug Pull,損失約5萬美元:6月29日消息,安全團隊CertiK在社交媒體上稱,LV Metaverse (LV PLUS) 項目再次發生Rug Pull,合約部署者再次拿走價值5萬美元的代幣。
此前消息,LV Metaverse (LV PLUS) 項目的LVP代幣暴跌,損失約150萬美元。LV Plus合約部署者錢包因將其代幣轉移并售出而導致了LVP代幣暴跌,因此被監測認定為Rug Pull。[2022/6/29 1:37:59]
事實的確如此。
根據Odaily星球日報的報道,在第一個黑客盜竊完成后,這條「成功」經驗也在加密社區瘋傳,被更多用戶模仿,趁火打劫。跨鏈通訊協議Nomad的資產被洗劫一空。
dYdX發布存款合約事故調查報告:被盜超21萬美元,挽回損失約200萬美元:12月12日消息,DeFi衍生品協議dYdX發布11月27日存款合約事故調查報告,稱自11月24日以來一直處理向dYdX交易所存款的代理智能合約中存在一個嚴重漏洞,UTC時間27日12:00左右,dYdX團隊執行了一次白帽黑客行動,以挽救易受攻擊的用戶資金,總計約200萬美元。這些資金被發送到非托管托管合同,只有這些資金的原始所有者才能取回它們。
據統計,總共存在730個受影響的地址,其中180個在發現漏洞時直接將資金置于風險之中。截至UTC時間12月8日18:00,最初的730個地址(目前沒有一個在其錢包中具有可利用的資金)中的91個已撤銷其配額批準。(Dydx官方)[2021/12/12 7:34:04]
可能是因為過于心急,一些用戶忘記使用馬甲偽裝,直接使用了自己的常用ENS域名,暴露無遺。目前已經有用戶開始自發退款,以求避免被起訴。
PART02?
-
項目方在部署合約時犯了什么錯導致被攻擊?
本次攻擊主要是項目方在部署合約時,把零(0x000000....)的confirmAt設置為1,導致任意一個未使用的_message都可以通過判斷,并從合約中提取出對應資產。技術分析如下:
被攻擊合約
0x5D94309E5a0090b165FA4181519701637B6DAEBA(存在漏洞利用的合約)
0x88A69B4E698A4B090DF6CF5Bd7B2D47325Ad30A3(遭受損失的金庫合約)
由于攻擊交易過多,下面依靠其中一筆攻擊交易分析為例進行闡述;
攻擊的交易截圖
1.通過交易分析,發現攻擊者是通過調用(0x5D9430)合約中的process函數提取合約中的資金。
攻擊細節截圖
2.跟進process函數中,可以看到合約對_messageHash進行了判斷,當輸入的messages為0x000000....時,返回值卻是true。
攻擊細節截圖
3.然后跟進acceptableRoot函數,發現_root的值為零(0x000000....)時,而confirmAt等于1,導致判斷恒成立,從而攻擊者可以提取合約中的資金。
攻擊細節截圖
?攻擊細節截圖
4.后續通過查看交易,發現合約在部署時,就已經初始零(0x000000....)的confirmAt為1,交易可見
攻擊細節截圖
攻擊細節截圖
PART03?
-
被盜資金進入,項目方還能找回嗎?
針對跨鏈代幣橋攻擊導致損失一事,Nomad團隊表示,“調查正在進行中,已經聯系區塊鏈情報和取證方面的主要公司協助。我們已經通知執法部門,并將夜以繼日地處理這一情況,及時提供最新信息。我們的目標是識別相關賬戶,并追蹤和追回資金。”
目前,成都鏈安安全團隊正在使用鏈必追平臺對被盜資金地址進行監控和追蹤分析。
PART04?
-
總結:合約部署需要注意哪些問題?
針對本次事件,成都鏈安安全團隊建議:項目方在合約部署前,需要考慮配置是否合理。部署后,應測試相關功能,是否存在被利用的風險,并且聯系審計公司查看初始的參數是否合理。
直到2021年末,OpenSea一直都是?NFT交易市場的壟斷者。但2022年初,隨著2022年1月LooksRare和2022年2月X2Y2的推出,OpenSea一家獨大的局面逐漸瓦解.
1900/1/1 0:00:00撰文:ThePrimedia研究員Spike??當我們在Google檢索DID一詞時,首先會跳出的是其醫學解釋——「多重人格障礙」,而非我們熟知的去中心化身份概念.
1900/1/1 0:00:00ZKRollups長期以來一直被認為是以太坊擴容的終極目標。然而,盡管它們對以太坊擴展路線圖很重要,但幾個關鍵點仍然存在廣泛的不確定性:ZKRollup到底是什么?特定于應用程序的Rollup和.
1900/1/1 0:00:00原文作者:Shirley秀秀,歐易研究員 原文來源:歐易研究院 前言:「合并」臨近導致的礦業生態變化7月中旬以太坊核心開發者TimBeiko預計以太坊的共識算法遷移到PoS的合并升級實施日期為9.
1900/1/1 0:00:00Web3起風已久,幾乎所有互聯網巨頭都在摩拳擦掌,想要布局下一個時代。電商賽道亦是如此。回溯Web2時代下的互聯網電商史,也是一場資本博弈之戰,只不過其戰場從早期萌芽的傳統電商,逐漸向社交電商、.
1900/1/1 0:00:00原文標題:《Goerli/Prater合并公告》原文來源:EthereumFoundationBlog原文作者:ProtocolSupportTeam作為最后一個進行權益證明過渡的測試網.
1900/1/1 0:00:00