在黑客滥用“混乱”安全漏洞窃取近 2 亿美元的数字资产后,跨链消息传递协议 Nomad 已成为加密货币最新的九位数攻击的目标。
Nomad 是一个令牌桥,允许用户在 Avalanche (AVAX)、以太坊 (ETH)、Evmos (EVMOS)、Moonbeam (GLMR) 和 Milkomeda C1 区块链之间发送和接收令牌,周一遭到攻击,黑客几乎耗尽了所有协议的资金。
根据去中心化金融跟踪平台DeFi Llama的数据,大约 1.907 亿美元的加密货币从桥上被盗,这表明在撰写本文时,当前锁定的总价值——即存入 DeFi 协议的用户资金数额——不到 12,000 美元。
Nomad 尚未确认黑客是如何窃取资金的。但根据web3投资公司Paradigm的安全主管 samczsun 的说法,最近对 Nomad 的一项智能合约的更新使用户很容易欺骗交易。这意味着当用户将资金从一个区块链转移到另一个区块链时,据称 Nomad 从未检查过金额,从而使用户能够提取不属于他们的资金。例如,用户可以发送 1 个 ETH,然后手动调用另一个区块链上的智能合约以接收 100 个 ETH。区块链审计公司 Zelic也得出了同样的结论。
“这就像使用支票簿从银行提取资金,银行不会验证我们是否真的持有足够的钱,”web3 漏洞赏金计划 Immunefi 分类团队的技术负责人 Adrian Hetman 告诉 TechCrunch。 “他们只关心支票本身看起来是否有效。”
12/ tl;dr 例行升级将零哈希标记为有效根,这具有允许在 Nomad 上欺骗消息的效果。攻击者滥用它来复制/粘贴交易,并在疯狂的混战中迅速耗尽了桥梁
– samczsun (@samczsun) 2022 年 8 月 2 日
Samczun 解释说,与大多数网桥攻击不同的是,“混乱”的 Nomad 攻击对所有人都是免费的,一旦消息传开,机会主义者蜂拥而至从网桥窃取资金,导致了研究人员所描述的作为“疯狂的混战”。区块链安全公司Peckshield表示,超过 41 个地址流失了 1.52 亿美元,占被盗资金的 80%。
“利用它所需要的只是复制原始黑客的交易并将原始地址更改为自定义地址。简单的复制粘贴,”Hetman 补充道。
该事件影响了从桥上排出的 Wrapped Ether (WETH)、USD Coin (USDC)、WBTC 和其他代币。
TechCrunch 联系了 Nomad,但尚未收到回复。然而,该公司在 Twitter上警告冒充者试图筹集资金。 “我们知道冒充 Nomad 并提供欺诈地址来收集资金的人,”它说。 “我们尚未提供归还过桥资金的指示。无视除 Nomad 官方频道以外的所有频道的通讯。”
在另一条推文中,Nomad 证实它已通知执法部门并保留了领先的区块链情报和取证公司,目的是“识别所涉及的账户并追踪和追回资金”。
就在几天前,Nomad透露,包括Coinbase Ventures 、 OpenSea 、Polygon 和 Crypto.com Capital 在内的一些知名加密投资者参与了 4 月的 2200 万美元种子轮融资,这使该公司获得了 2.25 亿美元的估值。
“在 Nomad,我们的目标是让跨区块链的通信更加安全,”Nomad 上周表示。 “我们相信,安全的跨链消息传递是团结 DeFi 生态系统和释放区块空间真正力量和潜力的关键,无论它在哪里。”
Nomad 攻击是一系列备受关注的事件中的最新一起,这些事件使跨链桥的安全性受到质疑。今年 4 月,Axie Infinity 的 Ronin Bridge 在一次黑客攻击中损失了超过 6 亿美元,而Harmony 的 Horizon 桥在 6 月损失了 1 亿美元。
原文: https://techcrunch.com/2022/08/02/nomad-chaotic-exploit-crypto/