NFT:安全团队：Nomad攻击者利用了合约中的process函数提取资金

成都链安链必应-区块链安全态势感知平台舆情监测显示，跨链通讯协议Nomad遭遇攻击，成都链安安全团队现将解析结果分享如下，通过被攻击合约(0x88a69b4e698a4b090df6cf5bd7b2d47325ad30a3)的转账交易看到，许多地址都进行了攻击。通过找到一笔相关交易，可以到看到攻击者利用了合约中的process函数进行提取。

安全团队：SoDeadNFT项目Discord服务器遭到攻击:金色财经消息，据CertiK监测，SoDeadNFT项目Discord服务器遭到攻击。请社区用户在服务器修复之前不要点击任何链接。[2023/2/1 11:40:38]

在process函数中，可以看到合约对_messageHash进行了判断，而输入的messages为0x000000....时，相当于任何未使用的hash，都可以判断通过。然后跟进acceptableRoot函数，因为_root设置为零(0x000000....),而confirmAt等于1，导致判断恒成立，攻击者就能提取资金。

安全团队：NFT项目yaypegs Discord服务器遭攻击:金色财经报道，据Certik监测，NFT项目yaypegs的Discord服务器遭攻击，在服务器恢复之前，请不要点击链接、铸造或批准任何交易。[2023/1/8 11:01:07]

此前消息，此前消息，Nomad遭遇黑客攻击，其代币桥内的1.9亿美元资金几乎全部耗尽。

Cobo安全团队详解Stargate漏洞：可能导致伪造的交易receipt通过MPT验证:3月29日消息，Cobo安全团队撰文对Stargate跨链桥底层协议LayerZero的安全漏洞进行分析，称原始漏洞代码在进行MPT 验证时，没有限制pointer 在proofBytes 长度内，这个漏洞有可能让攻击者伪造hashRoot，导致伪造的交易receipt 可以通过MPT 验证。最终可造成的后果是，在预言机完全可信的前提下，Relayer 仍可以单方面通过伪造receipt 数据的方式来实现对跨链协议的攻击。

值得注意的是，此次爆出漏洞的代码是LayerZero协议中最核心的MPT交易验证部分的代码，是整个LayerZero及上层协议（例如Stargate）正常运作的基石。Cobo安全团队还表示，LayerZero项目的关键合约目前大都还被EOA控制，没有采用多签机制或者时间锁机制。如果这些特权EOA的私钥一旦泄漏，也可能会导致所有上层协议的资产受到影响。[2022/3/29 14:24:49]

标签：EROLAYERESSNFTHeroBooklayer币怎么样Freedom. Jobs. BusinessUNFT

狗狗币最新价格热门资讯