慢雾完成对Taproot Chain跨链桥模块智能合约的代码审计

金色财经消息，据慢雾区消息，跨链互操作协议Nomad桥遭受黑客攻击，导致资金被非预期的取出。慢雾安全团队分析如下： 1. 在Nomad的Replica合约中，用户可以通过send函数发起跨链交易，并在目标链上通过process函数进行执行。在进行process操作时会通过acceptableRoot 检查用户提交的消息必须属于是可接受的根，其会在prove中被设置。因此用户必须提交有效的消息才可进行操作。 2. 项目方在进行Replica合约部署初始化时，先将可信根设置为0，随后又通过update函数对可信根设置为正常非0数据。Replica合约中会通过confirmAt 映射保存可信根开始生效的时间以便在acceptableRoot中检查消息根是否有效。但在update新根时却并未将旧的根的confirmAt设置为0，这将导致虽然合约中可信根改变了但旧的根仍然在生效状态。 3. 因此攻击者可以直接构造任意消息，由于未经过prove因此此消息映射返回的根是0，而项目方由于在初始化时将0设置为可信根且其并未随着可信根的修改而失效，导致了攻击者任意构造的消息可以正常执行，从而窃取Nomad桥的资产。 综上，本次攻击是由于Nomad桥Replica合约在初始化时可信根被设置为0x0，且在进行可信根修改时并未将旧根失效，导致了攻击可以构造任意消息对桥进行资金窃取。

3月15日消息，慢雾创始人余弦发推称，“土狗的智能合约代码一般都简单，我相信GPT-4大概率都可以给出正确的安全建议，但复杂的智能合约代码，尤其是有人类诡辩思维在里面的，还有那种需要其他场景（或者更大范围上下文）的漏洞，GPT-4搞不定，但可以作为审计辅助（如果用好的话）。另外，AI可能会骗人。看来安全审计公司未来不仅可以用好GPT，还可以审计GPT是不是在‘作恶’。”

4月20日消息，慢雾发布提醒称，跨链聚合器 PLEXUS 合约疑似被攻击。

金色财经报道，O安全机构 OpenZeppelin 完成了对 zkSync ZK Stack 代码库中状态转换（State Transition）合约的审计。

金色财经报道，慢雾推出HKSFC合规安全审计服务，目前慢雾安全团队已经为多家香港申请牌照的加密货币交易平台提供服务，包括：已完成申牌的HashKey Pro，正在申牌的HKBGE以及拟申牌的MEEX等平台。 慢雾安全团队根据HKSFC最新的要求以及OWASP国际标准，结合慢雾的安全能力整理了面向HKSFC合规安全审计的Checklist。通过深入分析HKSFC的Circular to licensed corporations Review of internet trading cybersecurity和Guidelines for Virtual Asset Trading Platform Operators要求，并结合多年的区块链安全从业经验，制定了面向HKSFC的合规安全审计项，另外根据OWASP国际标准以及慢雾独家的安全能力整理了Web,iOS,Android的安全审计项，在保证项目方符合HKSFC的要求后也能适配OWASP国际标准，包含以下内容： HKSFC23大合规要求； OWASPWeb13大合规要求； OWASPAndroid7大合规要求； OWASPiOS7大合规要求； 慢雾整理的170+安全审计项。

金色财经报道，跨链桥Synapse宣布已在thirdweb平台上线，开发者可以使用thirdWeb SDK创建应用程序，并在在几分钟内为任何用例部署预构建的合约。