NOMAD:速評：連黑客技術都沒用到 Nomad 就「倒下」了_NOM

跨鏈橋Nomad近2億美元TVL被幾乎全數盜走，EVMOS幣價短時暴漲超1.5倍。

撰文：iambabywhale.eth

北京時間今日清晨，跨鏈互操作性協議Nomad橋遭到黑客攻擊，攻擊發生期間WETH和WBTC以每次百萬美元的速度被持續轉出。據DefiLlama數據顯示，Nomad上近2億美元的TVL在短時間內被攻擊者「掏空」，截止發文時僅剩不到4000美元。

a16zcrypto應用安全團隊成員MattGleason及Paradigm研究合伙人兼安全主管Samczsun在第一時間發推解釋了本次攻擊利用的漏洞。以下分析節選自二者的觀點：

幣安將于今日19:00恢復MINA/USDT永續合約交易:2月7日，據幣安公告，幣安將于北京時間2月7日19:00恢復以USDT為本位的MINA永續合約交易，此前于2月6日進行自動結算的舊MINA/USDT永續合約將在用戶交易記錄中更名為“MINA/USDT SETTLED”。[2023/2/7 11:52:17]

Nomad此次被攻擊是由于跨鏈橋的配置導致可以通過特定路徑發送任何事務，錯誤在于Replica內部的「process」功能。出問題的「process」功能被設計為保證信息被證明，然后處理信息，通常情況下這個過程沒有問題。

支付巨頭PayPal已新增密鑰作為帳戶登錄方式:10月25日消息，據外媒報道，支付巨頭PayPal已添加密鑰（Passkeys）作為PayPal帳戶的登錄方式，允許PayPal.com上的iPhone、iPad和Mac用戶在不使用密碼的情況下登錄。目前PayPal密鑰服務已開始向美國用戶推出，從2023年初開始將在其他國家/地區以及iOS、iPadOS和macOS以外的平臺上推出。

據悉，密鑰由 FIDO 聯盟和萬維網聯盟與蘋果、谷歌和微軟合作創建，旨在用稱為加密密鑰對的數據位替換密碼，這些密鑰對由存儲在云中的公鑰和本地存儲在用戶設備上的私鑰組成，這些公鑰是分開的，以確保受感染的服務器不會向攻擊者提供帳戶訪問權限。（Newsroom）[2022/10/25 16:37:49]

Kujira即將發行名為USK的穩定幣:金色財經報道， 原Terra鏈上的Kujira項目宣布，即將發行名為USK的穩定幣。該團隊表示，制作 USK 的“靈感”來自去中心化借貸協議MakerDAO及其穩定幣DAI。

據悉，在Terra崩盤后后Kujira遷移到Cosmos上。（Coindesk）[2022/8/9 12:13:35]

該過程會使用「acceptableRoot」用來檢查root是否被證明或者在當前時間之前已被確認。問題存在于Solidity語言中，如果一個map的映射鍵未找到會返回默認值0，則「acceptableRoot」的參數「_root」將會是0。

然而，由于合約初始狀態下「_confirmedRoot」為0，使得0就是一個已被確認的值「acceptableRoot」接收一個0值就能通過驗證。

結果，黑客正是利用該漏洞，找一筆有效交易反復發送構造好的交易數據抽取跨鏈橋被鎖定的資金，從而導致Nomad上鎖定的資金被幾乎全數盜走。

受Nomad跨鏈橋被攻擊的影響，Moonbeam代幣GLMR短時下跌近10%，Evmos代幣EVMOS上漲超150%。發生該情況或是由于Moonbeam暫時關閉EVM功能，以及Nomad作為Evmos與以太坊生態的主要跨鏈橋，被盜資金需要通過EVMOS作為出金渠道所致。

Evmos官方發推稱，目前正在與Nomad團隊密切合作，并會在獲得更多信息后更新進展，當下Evmos鏈運行正常。由于Nomad已暫停，因此用戶無法將他們的ERC20封裝資產從Evmos撤回到以太坊，團隊會及時通知這對Evmos用戶和擁有Nomad封裝資產的用戶有何影響。

Tags：NOMMADNOMADOMAvenom幣融資了多少UMAD幣nomad幣重啟MOMAT

AAVE