NOM:跨鏈橋Nomad被黑，有用戶“實名”趁火打劫

北京時間8月2日早上，加密KOLfoobar發推稱，跨鏈解決方案Nomad于今日凌晨遭到黑客攻擊，智能合約中的WETH和WBTC正被轉出，每次約價值百萬美元。截至發稿前，Nomad代幣橋總鎖倉量只剩下3941美元，而昨天其TVL約為1.9億美元，初步分析Nomad損失在1.9億美元左右，建議用戶暫時不要與Nomad及其相關項目交互。攻擊發生后，Moonbeam正在進行的UltimateHarvestMoon活動受攻擊影響暫停。跨鏈路由協議Multichain發推表示，在Moonbeam和Moonriver的TVL超過1.6億美元資產安全不受影響，已暫停Moonbeam和Moonriver跨鏈橋，待鏈主網恢復交易后可安全跨鏈。Evmos發推稱Evmos鏈運行正常；此外，Nomad已暫停，因此用戶無法將其ERC20封裝資產從Evmos撤回到以太坊，團隊會及時通知這對Evmos用戶和擁有Nomad封裝資產的用戶有何影響。Nomad官方回應稱，“我們已經知道涉及Nomad代幣橋的事件。我們目前正在調查，并會在我們有更新時提供更新。我們了解到冒充者正冒充Nomad并提供欺詐地址來收集資金，我們尚未提供退還過橋資金的說明，請忽略來自Nomad官方頻道以外的所有頻道的消息。”本次被盜的根本原因，在于Nomad官方升級智能合約時發生錯誤。Paradigm安全研究員samczsun表示其副本合約存在致命缺陷，一次常規升級將零哈希標記為有效根，其效果是允許在Nomad上欺騙信息；攻擊者利用這一點來復制/粘貼交易，并迅速耗盡橋上的資產。“在例行升級期間，Nomad團隊將可信根初始化為0x00。需要明確的是，使用零值作為初始化值是一種常見的做法。不幸的是，在這種情況下，它具有自動驗證每條消息的微小副作用。這就是黑客如此混亂的原因——你不需要了解Solidity或MerkleTrees或類似的東西。你所要做的就是找到一個有效的交易，用你的地址找到/替換對方的地址，然后重新廣播它。”

報告：今年迄今從跨鏈橋中被盜的加密貨幣總額達20億美元:8月4日消息，Chainalysis近日發布的報告顯示，跨鏈橋攻擊事件被盜金額占2022年被盜加密貨幣總數的69%，損失達20億美元。 今年已經發生了13起跨鏈橋攻擊事件，包括最近發生的損失1.9億美元的Nomad跨鏈橋攻擊事件，以及今年3月份發生的損失6.24億美元Ronin跨鏈橋攻擊事件。

報告稱，跨鏈橋通常是黑客攻擊的目標，因為它們“具有一個中央資金存儲點，支持接收區塊鏈上的橋接資產”。Chainalysis強調，包括跨鏈橋在內的加密貨幣服務應該盡早開始投資于安全升級和培訓。此外，報告還指出，中心化交易所曾經是黑客最喜歡的目標，但隨著安全協議的進步，成功的網絡攻擊有所下降。（Cointelegraph）[2022/8/4 12:01:34]

Layer2互操作性協議Connext 與跨鏈協議Nomad 將在Cosmos生態鏈Evmos部署跨鏈橋:2月15日消息，Cosmos生態鏈Evmos宣布，Layer2互操作性協議Connext與跨鏈協議Nomad將把二者的跨鏈部署到Evmos。借助Nomad和Connext，機構和用戶將能夠在以太坊和Evmos生態系統之間進行交易和調用數據，這次部署將允許以太坊和其他EVM鏈的ERC-20代幣在Evmo上可用，隨后可以通過IBC在整個Cosmos生態系統中可用。[2022/2/15 9:52:47]

合約設計漏洞只是問題之一，Nomad官方在這次事件中反應也相當「遲鈍」，缺乏風控。在foobar發布推文時，跨鏈橋中依然有1.3億美元資產，直到官方發布推文時依然有7500萬美元資產，但Nomad官方卻似乎沒有做任何緊急動作，眼睜睜看著資產流失歸零。CelerNetwork聯合創始人MoDong在社群解釋稱，官方之所以「無動于衷」，主要是因為合約升級加上了時間鎖，導致其沒辦法第一時間作出反應。“合約升級還有時間鎖，也沒有風控，所以只能干看著+自己擼自己。”實際上，在第一個黑客盜竊完成后，這條「成功」經驗也在加密社區瘋傳，被更多用戶模仿，趁火打劫。可能是因為過于心急，一些用戶忘記使用馬甲偽裝，直接使用了自己的常用ENS域名，暴露無遺。目前已經有用戶開始自發退款，以求避免被起訴。關于后續進展，Odaily星球日報也將持續關注。

Maker計劃明年推出跨鏈橋Wormhole，并將在L2部署MCD:11月11日消息，Maker協議的核心工程部門宣布將為美元穩定幣 DAI 推出跨鏈橋 Maker Wormhole，打通以太坊和其他二層網絡，將先從 Arbitrum 和 Optimism 開始，另外還計劃在二層網絡部署 MCD （多抵押 DAI）。Maker Wormhole 是此前 Maker 提出的“快速提現”方案的一般化版本，并且該方案是完全無需信任的。Maker 預計快速提現功能會在明年 1 季度上線，而 Wormhole 計劃在明年 2 季度發布，后續還會考慮擴展到更多二層網絡。[2021/11/11 6:47:08]

IoTeX 正式發布超級跨鏈橋 ioTube V4:官方消息，去中心化物聯網平臺 IoTeX 正式發布超級跨鏈橋 ioTube V4，實現IoTeX鏈上資產與以太坊ETH資產、幣安智能鏈BSC資產跨鏈雙向橋接，更多 ERC20 和BSC資產即將上線。

通過 ioTube，其他區塊鏈的資產 / 數據可以一鍵安全地連接到 IoTeX 網絡，IoTeX 的資產和未來的 IoT 可信數據也可以連接到其他區塊鏈上。ioTube 是 IoTeX 物聯網開放金融基礎設施#DeFIoT 的系列組件之一，同時支持桌面和移動版本。ioTube V4的發布為基于 IoTeX 的去中心化 DEX mimo提供了充足的跨鏈資產流動性。[2021/4/14 20:19:24]

官網數據顯示，Nomad此前提供包括以太坊、Moonbeam、MilkomedaC1、Evmos、Avalanche在內的五種區塊鏈網絡之間的跨鏈轉賬。與基于驗證者的跨鏈橋不同，Nomad不依賴大量外部方來驗證跨鏈通信，而是通過利用一種optimistic機制，讓用戶可以安全地發送消息和橋接資產，并保證任何觀看的人都可以標記欺詐并保護系統。今年4月，Nomad完成2200萬美元種子輪融資，由Polychain領投，1kx、Ethereal、HackVC等參投，估值為2.25億美元。相關閱讀

超1.5億美元損失，跨鏈橋協議Nomad黑客攻擊事件分析

Tags：NOMNOMADMADOMAAtonominomad幣重啟NOMAD幣ZomaInfinity

幣安app官方下載最新版