MAD:跨链桥Nomad被黑，有用户“实名”趁火打劫_Armada

北京时间8月2日早上，加密KOLfoobar发推称，跨链解决方案Nomad于今日凌晨遭到黑客攻击，智能合约中的WETH和WBTC正被转出，每次约价值百万美元。

截至发稿前，Nomad代币桥总锁仓量只剩下3941美元，而昨天其TVL约为1.9亿美元，初步分析Nomad损失在1.9亿美元左右，建议用户暂时不要与Nomad及其相关项目交互。

攻击发生后，Moonbeam正在进行的UltimateHarvestMoon活动受攻击影响暂停。跨链路由协议Multichain发推表示，在Moonbeam和Moonriver的TVL超过1.6亿美元资产安全不受影响，已暂停Moonbeam和Moonriver跨链桥，待链主网恢复交易后可安全跨链。

报告：今年迄今从跨链桥中被盗的加密货币总额达20亿美元:8月4日消息，Chainalysis近日发布的报告显示，跨链桥攻击事件被盗金额占2022年被盗加密货币总数的69%，损失达20亿美元。 今年已经发生了13起跨链桥攻击事件，包括最近发生的损失1.9亿美元的Nomad跨链桥攻击事件，以及今年3月份发生的损失6.24亿美元Ronin跨链桥攻击事件。

报告称，跨链桥通常是黑客攻击的目标，因为它们“具有一个中央资金存储点，支持接收区块链上的桥接资产”。Chainalysis强调，包括跨链桥在内的加密货币服务应该尽早开始投资于安全升级和培训。此外，报告还指出，中心化交易所曾经是黑客最喜欢的目标，但随着安全协议的进步，成功的网络攻击有所下降。（Cointelegraph）[2022/8/4 12:01:34]

Evmos发推称Evmos链运行正常；此外，Nomad已暂停，因此用户无法将其ERC20封装资产从Evmos撤回到以太坊，团队会及时通知这对Evmos用户和拥有Nomad封装资产的用户有何影响。

Cellframe Network与稳定币跨链桥Symbiosis达成合作:6月18日消息，Layer 1网络Cellframe Network宣布与稳定币跨链桥Symbiosis达成合作。通过此次合作，Cellframe Network将可桥接至以太坊、Polygon和其他区块链，从而实现快速、无摩擦的跨链转账和兑换。[2022/6/18 4:36:05]

Nomad官方回应称，“我们已经知道涉及Nomad代币桥的事件。我们目前正在调查，并会在我们有更新时提供更新。我们了解到冒充者正冒充Nomad并提供欺诈地址来收集资金，我们尚未提供退还过桥资金的说明，请忽略来自Nomad官方频道以外的所有频道的消息。”

跨链桥Across Protocol公布空投细则:4月22日消息，跨链桥 Across Protocol 在社群公布其 ACX 空投细则。据该细则显示，本次空投计划总量为 2000 万枚，其中：

Discord 相关标签：800 万枚

快照前跨链桥 Across Protocol 相关用户：750 万枚

社群贡献者（SDC and DC）：300 万枚

合作伙伴：150 万枚

快照结束前的早期跨链用户及 LP 提供者，均为累计价值超过 0.3ETH 获得空投资格。[2022/4/22 14:41:29]

本次被盗的根本原因，在于Nomad官方升级智能合约时发生错误。Paradigm安全研究员samczsun表示其副本合约存在致命缺陷，一次常规升级将零哈希标记为有效根，其效果是允许在Nomad上信息；攻击者利用这一点来复制/粘贴交易，并迅速耗尽桥上的资产。

“在例行升级期间，Nomad团队将可信根初始化为0x00。需要明确的是，使用零值作为初始化值是一种常见的做法。不幸的是，在这种情况下，它具有自动验证每条消息的微小副作用。这就是黑客如此混乱的原因——你不需要了解Solidity或MerkleTrees或类似的东西。你所要做的就是找到一个有效的交易，用你的地址找到/替换对方的地址，然后重新广播它。”

合约设计漏洞只是问题之一，Nomad官方在这次事件中反应也相当「迟钝」，缺乏风控。在foobar发布推文时，跨链桥中依然有1.3亿美元资产，直到官方发布推文时依然有7500万美元资产，但Nomad官方却似乎没有做任何紧急动作，眼睁睁看着资产流失归零。

CelerNetwork联合创始人Modong在社群解释称，官方之所以「无动于衷」，主要是因为合约升级加上了时间锁，导致其没办法第一时间作出反应。“合约升级还有时间锁，也没有风控，所以只能干看着自己撸自己。”

实际上，在第一个黑客盗窃完成后，这条「成功」经验也在加密社区疯传，被更多用户模仿，趁火打劫。可能是因为过于心急，一些用户忘记使用马甲伪装，直接使用了自己的常用ENS域名，暴露无遗。目前已经有用户开始自发退款，以求避免被起诉。关于后续进展，Odaily星球日报也将持续关注。

官网数据显示，Nomad此前提供包括以太坊、Moonbeam、MilkomedaC1、Evmos、Avalanche在内的五种区块链网络之间的跨链转账。与基于验证者的跨链桥不同，Nomad不依赖大量外部方来验证跨链通信，而是通过利用一种optimistic机制，让用户可以安全地发送消息和桥接资产，并保证任何观看的人都可以标记欺诈并保护系统。今年4月，Nomad完成2200万美元种子轮融资，由Polychain领投，1kx、Ethereal、HackVC等参投，估值为2.25亿美元。

标签：MADNOMADOMANOMArmadanomad币交易所AS Roma Fan TokenNominex

酷币交易所热门资讯