ERT:安全團隊：Nomad攻擊者利用了合約中的process函數提取資金

成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，跨鏈通訊協議Nomad遭遇攻擊，成都鏈安安全團隊現將解析結果分享如下，通過被攻擊合約(0x88a69b4e698a4b090df6cf5bd7b2d47325ad30a3)的轉賬交易看到，許多地址都進行了攻擊。通過找到一筆相關交易，可以到看到攻擊者利用了合約中的process函數進行提取。

安全團隊：未經驗證的合約（0xac15ab開頭）存在漏洞，攻擊者獲利近16萬美元:8月13日消息，據Beosin Alert監測，未經驗證的合約（0xac15ab開頭）存在漏洞，并導致多個地址的損失。

手續費來源于FixedFloat的攻擊者地址（0xb9c77d開頭）已經獲利約 97000美元。目前所有的資金都存放在0x202bad開頭地址。

另一個攻擊者地址（0x7d9bc4開頭）獲利約6萬美元，并將所有被盜資金轉移到Railgun:Relay。[2023/8/13 16:23:30]

在process函數中，可以看到合約對_messageHash進行了判斷，而輸入的messages為0x000000....時，相當于任何未使用的hash，都可以判斷通過。然后跟進acceptableRoot函數，因為_root設置為零(0x000000....),而confirmAt等于1，導致判斷恒成立，攻擊者就能提取資金。

安全團隊：“ustbonus.com”是釣魚網站，已有虛假USDT轉入多個EOA賬戶:金色財經報道，安全團隊CertiK預警監測顯示，某EOA賬戶地址將偽造的USDT轉入到多個EOA錢包，并且交易被偽裝成由Tether官方合約發起。CertiK稱，與之相關的網站“ustbonus.com”是釣魚網站，請用戶不要與該網站進行交互。[2022/11/25 20:45:32]

此前消息，此前消息，Nomad遭遇黑客攻擊，其代幣橋內的1.9億美元資金幾乎全部耗盡。

安全團隊：NFT項目Not Bored Apes Discord遭攻擊并發布網絡釣魚鏈接:金色財經消息，據CertiK監測，NFT項目Not Bored Apes的Discord遭受攻擊，一個mod賬戶似乎被黑，開始頻繁發布網絡釣魚鏈接。請對官方未公布的Mint保持警惕。[2022/6/4 4:02:07]

Tags：ERTESSCERcertikERTH TokenTESS幣ceres幣能發財嗎certik幣價

狗狗幣