SIN:安全團隊：跨鏈通訊協議Nomad被攻擊事件簡析

金色財經消息，北京時間8月2日中午，成都鏈安鏈必應-區塊鏈安全態勢感知平臺輿情監測顯示，跨鏈通訊協議Nomad遭遇攻擊，成都鏈安安全團隊現將解析結果分享如下，通過被攻擊合約的轉賬交易看到，許多地址都進行了攻擊。通過找到一筆相關交易，可以到看到攻擊者利用了合約中的process函數進行提取。在process函數中，可以看到合約對_messageHash進行了判斷,而輸入的messages為0x000000....時，相當于任何未使用的hash，都可以判斷通過。然后跟進acceptableRoot函數，因為_root設置為零,而confirmAt等于1，導致判斷恒成立，攻擊者就能提取資金。成都鏈安鏈必追平臺將對被盜資金進行實時監控。

安全團隊：發現Circom驗證庫漏洞CVE-2023-33252:金色財經報道，Beosin 發現Circom 驗證庫漏洞CVE-2023-33252，提醒zk項目方注意相關風險。Circom是基于Rust開發的零知識證明電路編譯器，該團隊同時開發了SnarkJS庫用于實現證明系統，包括：可信設置、零知識證明的生成和驗證等，支持Groth16、PLONK、FFLONK算法。

此前，Beosin 安全研究人員在?SnarkJS 0.6.11及之前的版本的庫中發現了一個嚴重漏洞，當該庫在驗證證明時未對參數進行完整的合法性檢查，使得攻擊者可以偽造出多個證明通過校驗，實現雙花攻擊。Beosin在提了這個漏洞以后，第一時間聯系項目方并協助修復，目前該漏洞已修復完成。Beosin提醒所有使用了SnarkJS庫的zk項目方可將SnarkJS更新到 0.7.0版本！以確保安全性。

同時針對此漏洞，Beosin安全團隊提醒zk項目方，在進行proof驗證時，應充分考慮算法設計在實際實現時，由于代碼語言屬性導致的安全風險。目前Beosin已將漏洞提交 CVE漏洞披露平臺（Common Vulnerabilities and Exposures）并獲取認可。[2023/5/25 10:39:47]

安全團隊：DeFi協議land疑似遭到攻擊，損失約15萬美元:金色財經報道，據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，UTC時間2023年5月14日，DeFi協議land疑似遭到攻擊，損失約15萬美元，Beosin Trace追蹤發現已有149,616個BUSD被盜，目前，大部分被盜資金還在攻擊者地址。其攻擊的原因在于mint權限控制缺失。Beosin安全團隊現將分析結果分享如下：1.項目方存在幾個miner地址可以mint NFT，其中包含0x2e59開頭地址合約。2.攻擊者調用0x2e59開頭地址合約mint 200個NFT。3.攻擊者調用0xeab0開頭地址函數，用上一步鑄造的NFT換取大量XQJ代幣(每個NFT兌換200XQJ)，直到該合約無法換出XQJ。4.攻擊者用28,601XQJ兌換了149,616BUSD。5.攻擊者再次mint NFT直到NFT發行上限，攻擊結束后攻擊者仍持有733個NFT。[2023/5/15 15:03:53]

安全團隊：MonoX攻擊者將約1300枚ETH轉入TornadoCash:金色財經報道，據派盾（PeckShield）監測，MonoX Finance的攻擊者將約1,300枚ETH（約210萬美元）轉入TornadoCash。

2021年11月，MonoX Finance遭受黑客攻擊，損失約3100萬美元。[2022/9/6 13:11:25]

Tags：SINEOSNFTMINPissing CatNeosCoinNFTY價格MINTY幣

ADA