安全團隊：Nomad攻擊者利用了合約中的process函數提取資金_ESS

成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，跨鏈通訊協議Nomad遭遇攻擊，成都鏈安安全團隊現將解析結果分享如下，通過被攻擊合約(0x88a69b4e698a4b090df6cf5bd7b2d47325ad30a3)的轉賬交易看到，許多地址都進行了攻擊。通過找到一筆相關交易，可以到看到攻擊者利用了合約中的process函數進行提取。

安全團隊：0x3d1a開頭EOA地址將10枚ETH轉入Tornado Cash:金色財經報道，據CertiK監測，EOA地址（0x131f...）將10枚ETH（約1.9萬美元）轉入Tornado Cash。該筆被盜資金來自幾個被Etherscan標記為網絡釣魚的黑地址。[2023/5/8 14:49:44]

在process函數中，可以看到合約對_messageHash進行了判斷，而輸入的messages為0x000000....時，相當于任何未使用的hash，都可以判斷通過。然后跟進acceptableRoot函數，因為_root設置為零(0x000000....),而confirmAt等于1，導致判斷恒成立，攻擊者就能提取資金。

安全團隊：檢測到y00ts[.]gift是一個釣魚網站:9月5日消息，據派盾（PeckShield）監測，y00ts[.]gift是一個釣魚網站，用戶不要和任何鏈接互動。此前y00tlist在推特表示，項目在發售前出現bug，發售或推遲24小時。團隊將在解決問題后發布公告。[2022/9/5 13:09:28]

此前消息，此前消息，Nomad遭遇黑客攻擊，其代幣橋內的1.9億美元資金幾乎全部耗盡。

聲音 | 慢霧安全團隊：區塊鏈生態系統自愈能力其實很強:據火訊財經報道，慢霧安全團隊在回應于佳寧關于區塊鏈生態安全問題最嚴重的情況時表示：“區塊鏈生態安全發生危險最嚴重的就是團隊資金破產及信譽破產，但是，有時候安全這東西也沒那么夸張，一個生態之所以是生態，就具備生態的一個屬性：自愈能力其實很強。”[2018/7/3]

Tags：區塊鏈ASHESSETH區塊鏈存證證件具有更高的信任等級CashaaVERSESS CoinETH2SOCKS價格

DOT