USD:驚天魔盜，近2億美金損失，Nomad Bridge攻擊事件分析_axo幣的最新價格

北京時間2022年8月2日，CertiK安全團隊監測到NomadBridge遭受攻擊，導致了價值約1.9億美元的損失。

合約的問題在于在initialize()函數被調用的時候，“committedRoot”被設成了0x00地址。因此，攻擊者可以通過消息的驗證，將在橋合約中的代幣轉移。

③此時函數acceptableRoot(messages)返回了true，也就是說這條message就被批準了。這是因為0x0000在初始化過程中被設置為了true。

CNBC：若美SEC正式起訴Paxos，將對其他穩定幣產生重大影響:2月20日消息，如果美國證券交易委員會正式對Paxos提起訴訟，將對價值1370億美元的穩定幣市場產生重大影響。律師事務所BCLP的合伙人Renato Mariotti表示：“如果SEC指控Paxos，任何其他穩定幣發行商都應該注冊或準備與SEC打官司。”Mariotti稱：“我相信SEC很可能與Paxos達成和解，Paxos承認BUSD是一種證券，從而導致其他穩定幣效仿并注冊。不過，Paxos可能會積極起訴SEC，但這樣做的成本將是巨大的。訴訟需要數年時間，敗給SEC的風險很大。Paxos與SEC對抗這一事實本身就會產生風險，并可能降低BUSD對市場的吸引力。”Mariotti表示，另一個結果是，SEC可能會監管用于支持穩定幣的資產，以及數字貨幣發行向市場披露信息的要求。

CoinShares產品負責人Townsend Lansing表示：“該行動的基礎必然是特定于Paxos BUSD結構的特點事實，但可能會對其他向美國穩定幣發行商產生廣泛的影響。SEC對證券或投資合同的定義實際上超出了Howey測試的范圍，該機構在如何應用法律和司法先例方面擁有廣泛的知識。如果沒有一場成功的斗爭，BUSD很可能將不再在美國銷售，也不會在美國的數字資產交易所上市。其他穩定幣很可能會效仿。”

此前金色財經報道，SEC向Paxos發出“韋爾斯通知”，告知其計劃就BUSD起訴Paxos；紐約州金融服務部已命令Paxos停止發行新BUSD代幣。（CNBC）[2023/2/20 12:17:12]

④當這條message被批準后，攻擊者即可從橋中轉移資金。

Paxos不同意美SEC將BUSD視為證券，并表示在必要時會提起訴訟:金色財經報道，根據周一的新聞稿，穩定幣發行方Paxos承認已收到美國證券交易委員會(SEC)的通知，表明可能會根據其Binance USD構成未注冊證券的指控采取執法行動。BUSD是幣安旗下的一種與美元掛鉤的穩定幣。

但該公司表示，它“斷然不同意SEC工作人員的意見，因為BUSD不是聯邦證券法規定的證券。”該公司還聲稱，Paxos“始終以美元計價的儲備1:1支持，完全隔離并保存在破產遠程賬戶中”，并表示該公司“準備在必要時積極提起訴訟”。

此外，Paxos表示，該通知只針對BUSD，Paxos沒有收到其他指控。據此前消息，Paxos表示將在紐約金融服務部(NYDFS)的指示下停止發行新的BUSD代幣。[2023/2/14 12:04:57]

MoonbeamBridge上轉移了0.01WBTC:?https://moonscan.io/tx/0xcca9299c739a1b538150af007a34aba516b6dade1965e80198be021e3166fe4c?

哥倫比亞稅務局長：哥倫比亞將推出CBDC:8月17日消息，近日，哥倫比亞稅務和海關總署局長（DIAN）負責人Luis Carlos Reyes表示，哥倫比亞政府將推出中央銀行數字貨幣，從而使消費更加便捷。中央銀行數字貨幣(CBDC)是國家法定貨幣的數字版本，類似于由中央銀行支持的美元或歐元。（Decrypt）[2022/8/17 12:30:18]

○在EtheremBridge接受了100WBTC代幣轉移：https://etherscan.io/tx/0xa5fe9d044e4f3e5aa5bc4c0709333cd2190cba0f4e7f16bcf73f49f83e4a5460?

漏洞分析

在Replica合約中，“committedRoot”被錯誤地初始化為0?。

合約地址：https://etherscan.io/address/0x88a69b4e698a4b090df6cf5bd7b2d47325ad30a3

函數process通過調用函數acceptableRoot()確保messagehash能通過驗證。

函數acceptableRoot()會檢查root是否已經被proven,processed或者confirmed。

然而在初始化的交易中0x53fd92771d2084a9bf39a6477015ef53b7f116c79d98a21be723d06d79024cad，owner傳入了0x00并且它對應的`confirmAt`也會在初始化中被設為1。

因此0x00可以被當作一個`acceptableRoot`，這也可以在replica合約中查詢到https://etherscan.io/address/0xb92336759618f55bd0f8313bd843604592e27bd8。

Prove函數的實現導致了一條unprovenmessage的root是0，而0作為一個有效的confirmedroot可以通過require的檢查。攻擊者只需調用process函數就能從橋中轉移資金。

智能合約的分析和部署后合約驗證的深入分析。

Tags：AXOSECUSDBUSDaxo幣的最新價格SeChainusdc幣是什么意思BUSD幣

ETH