以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads
首頁 > Uniswap > Info

慢霧:Nomad橋攻擊源于Replica合約可信根被設為0x0,且在修改時未將舊根失效_MAD:Nomad Exiles

Author:

Time:1900/1/1 0:00:00

據慢霧區消息,跨鏈互操作協議Nomad橋遭受黑客攻擊,導致資金被非預期的取出。慢霧安全團隊對于Nomad橋攻擊事件進行了簡析:1.在Nomad的Replica合約中,用戶可以通過send函數發起跨鏈交易,并在目標鏈上通過process函數進行執行。在進行process操作時會通過acceptableRoot檢查用戶提交的消息必須屬于是可接受的根,其會在prove中被設置。因此用戶必須提交有效的消息才可進行操作。2.項目方在進行Replica合約部署初始化時,先將可信根設置為0,隨后又通過update函數對可信根設置為正常非0數據。Replica合約中會通過confirmAt映射保存可信根開始生效的時間以便在acceptableRoot中檢查消息根是否有效。但在update新根時卻并未將舊的根的confirmAt設置為0,這將導致雖然合約中可信根改變了但舊的根仍然在生效狀態。3.因此攻擊者可以直接構造任意消息,由于未經過prove因此此消息映射返回的根是0,而項目方由于在初始化時將0設置為可信根且其并未隨著可信根的修改而失效,導致了攻擊者任意構造的消息可以正常執行,從而竊取Nomad橋的資產。

慢霧:CoinsPaid、Atomic與Alphapo攻擊者或均為朝鮮黑客組織Lazarus:7月26日消息,慢霧發推稱,CoinsPaid、Atomic與Alphapo攻擊者或均為朝鮮黑客組織Lazarus Group。慢霧表示,TGGMvM開頭地址收到了與Alphapo事件有關TJF7md開頭地址轉入的近1.2億枚TRX,而TGGMvM開頭地址在7月22日時還收到了通過TNMW5i開頭和TJ6k7a開頭地址轉入的來自Coinspaid熱錢包的資金。而TNMW5i開頭地址則曾收到了來自Atomic攻擊者使用地址的資金。[2023/7/26 16:00:16]

綜上,本次攻擊是由于Nomad橋Replica合約在初始化時可信根被設置為0x0,且在進行可信根修改時并未將舊根失效,導致了攻擊可以構造任意消息對橋進行資金竊取。

慢霧:針對傳言火幣信息泄漏事件不涉及用戶賬戶與資金安全 請保持客觀冷靜對待:據官方消息,慢霧注意到近日有白帽子公開了此前一個火幣已經處理完畢的過往漏洞信息。經慢霧與火幣官方確認,火幣本著負責任披露信息的策略,對本次事件做以下說明:本次事件是小范圍內(4000人)的用戶聯絡信息泄露,信息種類不涉及敏感信息,不涉及用戶賬戶與資金安全。事件發生于2021年6月22日日本站測試環境S3桶相關人員不規范操作導致,相關用戶信息于2022年10月8日已經完全隔離,日本站與火幣全球站無關。本次事件由白帽團隊發現后,火幣安全團隊2023年6月21日(10天前)已第一時間進行處理,立即關閉相關文件訪問權限,當前漏洞已修復,所有相關用戶信息已經刪除。感謝白帽團隊對于火幣安全做出的貢獻。最后提醒請大家冷靜對待,切勿傳謠。[2023/7/1 22:12:01]

慢霧:Grafana存在賬戶被接管和認證繞過漏洞:金色財經報道,據慢霧消息,Grafana發布嚴重安全提醒,其存在賬戶被接管和認證繞過漏洞(CVE-2023-3128),目前PoC在互聯網上公開,已出現攻擊案例。Grafana是一個跨平臺、開源的數據可視化網絡應用程序平臺,用戶配置連接的數據源之后,Grafana可以在網絡瀏覽器里顯示數據圖表和警告。Grafana根據電子郵件的要求來驗證Azure Active Directory賬戶。在Azure AD上,配置文件的電子郵件字段在Azure AD租戶之間是不唯一的。當Azure AD OAuth與多租戶Azure AD OAuth應用配置在一起時,這可能會使Grafana賬戶被接管和認證繞過。其中,Grafana>=6.7.0受到影響。加密貨幣行業有大量平臺采用此方案用來監控服務器性能情況,請注意風險,并將Grafana升級到最新版本。[2023/6/25 21:58:31]

Tags:FANNOMMADNOMADBrazil National Fan TokenNomad ExilesMADinArtnomad幣是不是歸零

Uniswap
Frax Finance創始人:穩定幣項目需要合作,USDC是其他穩定幣進一步創新的基礎_穩定幣:穩定幣有哪些種類

據Cointelegraph報道,算法穩定幣協議FraxFinance創始人SamKazemian表示,穩定幣項目需要采取更加協作的方式來增加彼此的流動性和整個生態系統.

1900/1/1 0:00:00
澳新銀行推出的澳元穩定幣A$DC已被用于購買該國代幣化碳信用額度_代幣化:BCA

據Cointelegraph報道,澳新銀行推出的澳元穩定幣A$DC已被用于購買澳大利亞代幣化碳信用額度,這標志著該資產在當地經濟中的應用案例的又一次關鍵測試.

1900/1/1 0:00:00
美國珠寶品牌蒂芙尼推出限量版CryptoPunk定制吊墜,將于8月5日開售_NFT:比特幣

據官方推特,美國珠寶品牌蒂芙尼將向CryptoPunk持有者提供NFT“NFTiffs”,它代表250張通行證,將使所有者有權要求在其Punk上設計一個定制吊墜,其中包含寶石和鉆石.

1900/1/1 0:00:00
Cardano測試網Vasil升級已完成,主網Vasil升級預計還需四周時間_DAN:CAR

Cardano開發團隊InputOutput發推文稱:“IOG團隊已成功硬分叉Cardano測試網。這是在主網上進行Vasil升級的重要一步.

1900/1/1 0:00:00
消息人士:三箭資本持有的Deribit股份為2500萬美元,而非法院文件披露的5億美元_DERI:GRAM

據Cointelegraph報道,三箭資本破產的法院文件可能高估了該公司剩余資產的價值,特別是其對加密期權交易所Deribit的敞口.

1900/1/1 0:00:00
虛擬貨幣騙局MBI集團創辦人張譽發于今日移交中國受審_FSC:ONG

據HK01報道,總部位于馬來西亞檳城的MBI集團創辦人張譽發7月22日在泰國落網并被驅逐出境,于今日移交中國受審.

1900/1/1 0:00:00
ads