北京時間2022年8月2日,CertiK安全團隊監測到NomadBridge遭受攻擊,導致了價值約1.9億美元的損失。
合約的問題在于在initialize()函數被調用的時候,“committedRoot”被設成了0x00地址。因此,攻擊者可以通過消息的驗證,將在橋合約中的代幣轉移。
③此時函數acceptableRoot(messages)返回了true,也就是說這條message就被批準了。這是因為0x0000在初始化過程中被設置為了true。
CNBC:若美SEC正式起訴Paxos,將對其他穩定幣產生重大影響:2月20日消息,如果美國證券交易委員會正式對Paxos提起訴訟,將對價值1370億美元的穩定幣市場產生重大影響。律師事務所BCLP的合伙人Renato Mariotti表示:“如果SEC指控Paxos,任何其他穩定幣發行商都應該注冊或準備與SEC打官司。”Mariotti稱:“我相信SEC很可能與Paxos達成和解,Paxos承認BUSD是一種證券,從而導致其他穩定幣效仿并注冊。不過,Paxos可能會積極起訴SEC,但這樣做的成本將是巨大的。訴訟需要數年時間,敗給SEC的風險很大。Paxos與SEC對抗這一事實本身就會產生風險,并可能降低BUSD對市場的吸引力。”Mariotti表示,另一個結果是,SEC可能會監管用于支持穩定幣的資產,以及數字貨幣發行向市場披露信息的要求。
CoinShares產品負責人Townsend Lansing表示:“該行動的基礎必然是特定于Paxos BUSD結構的特點事實,但可能會對其他向美國穩定幣發行商產生廣泛的影響。SEC對證券或投資合同的定義實際上超出了Howey測試的范圍,該機構在如何應用法律和司法先例方面擁有廣泛的知識。如果沒有一場成功的斗爭,BUSD很可能將不再在美國銷售,也不會在美國的數字資產交易所上市。其他穩定幣很可能會效仿。”
此前金色財經報道,SEC向Paxos發出“韋爾斯通知”,告知其計劃就BUSD起訴Paxos;紐約州金融服務部已命令Paxos停止發行新BUSD代幣。(CNBC)[2023/2/20 12:17:12]
④當這條message被批準后,攻擊者即可從橋中轉移資金。
Paxos不同意美SEC將BUSD視為證券,并表示在必要時會提起訴訟:金色財經報道,根據周一的新聞稿,穩定幣發行方Paxos承認已收到美國證券交易委員會(SEC)的通知,表明可能會根據其Binance USD構成未注冊證券的指控采取執法行動。BUSD是幣安旗下的一種與美元掛鉤的穩定幣。
但該公司表示,它“斷然不同意SEC工作人員的意見,因為BUSD不是聯邦證券法規定的證券。”該公司還聲稱,Paxos“始終以美元計價的儲備1:1支持,完全隔離并保存在破產遠程賬戶中”,并表示該公司“準備在必要時積極提起訴訟”。
此外,Paxos表示,該通知只針對BUSD,Paxos沒有收到其他指控。據此前消息,Paxos表示將在紐約金融服務部(NYDFS)的指示下停止發行新的BUSD代幣。[2023/2/14 12:04:57]
MoonbeamBridge上轉移了0.01WBTC:?https://moonscan.io/tx/0xcca9299c739a1b538150af007a34aba516b6dade1965e80198be021e3166fe4c?
哥倫比亞稅務局長:哥倫比亞將推出CBDC:8月17日消息,近日,哥倫比亞稅務和海關總署局長(DIAN)負責人Luis Carlos Reyes表示,哥倫比亞政府將推出中央銀行數字貨幣,從而使消費更加便捷。中央銀行數字貨幣(CBDC)是國家法定貨幣的數字版本,類似于由中央銀行支持的美元或歐元。(Decrypt)[2022/8/17 12:30:18]
○在EtheremBridge接受了100WBTC代幣轉移:https://etherscan.io/tx/0xa5fe9d044e4f3e5aa5bc4c0709333cd2190cba0f4e7f16bcf73f49f83e4a5460?
漏洞分析
在Replica合約中,“committedRoot”被錯誤地初始化為0?。
合約地址:https://etherscan.io/address/0x88a69b4e698a4b090df6cf5bd7b2d47325ad30a3
函數process通過調用函數acceptableRoot()確保messagehash能通過驗證。
函數acceptableRoot()會檢查root是否已經被proven,processed或者confirmed。
然而在初始化的交易中0x53fd92771d2084a9bf39a6477015ef53b7f116c79d98a21be723d06d79024cad,owner傳入了0x00并且它對應的`confirmAt`也會在初始化中被設為1。
因此0x00可以被當作一個`acceptableRoot`,這也可以在replica合約中查詢到https://etherscan.io/address/0xb92336759618f55bd0f8313bd843604592e27bd8。
Prove函數的實現導致了一條unprovenmessage的root是0,而0作為一個有效的confirmedroot可以通過require的檢查。攻擊者只需調用process函數就能從橋中轉移資金。
智能合約的分析和部署后合約驗證的深入分析。
尊敬的XT.COM用戶:PLCU錢包升級維護已完成,XT.COM現已恢復PLCU充提業務。給您帶來的不便,請您諒解!感謝您對XT.COM的支持與信任!XT.COM團隊2022年8月3日XTZ突破.
1900/1/1 0:00:00隨著所有加密貨幣的市值攀升0.80%至1.06萬億美元,加密貨幣市場今天交易綠色。今天,某些加密貨幣正在經歷小幅下跌,而另一些則在增加.
1900/1/1 0:00:00DearKuCoinUsers,Inordertoincreasemarketliquidityandimprovethetradingexperience.
1900/1/1 0:00:00金色財經報道,由DebbieStabenow擔任主席的參議院農業委員會準備提出一項法案,賦予CFTC對被視為數字商品的加密貨幣的“專屬管轄權”.
1900/1/1 0:00:00尊敬的BitMart用戶:應Y5TT團隊的要求,我們決定于?2022年8月5日18:00(UTC8)?暫停Y5TT的充值及交易功能.
1900/1/1 0:00:00我研究了所有與以太坊第二層解決方案相關的項目,包括廣義的L2和特定應用的L2,并從這些偉大的項目中選出了我心目中的前五名 是否產生了收入? 深入研究TokenTerminal.
1900/1/1 0:00:00