Nomad跨鏈協議被黑走1.9億美元
8月1日,Nomad跨鏈協議遭受了一次漏洞利用,導致價值約1.9億美元的資產損失。
Nomad Bridge是以太坊、Moonbeam、Avalanche、Evmos和Milkomeda之間的跨鏈橋,一種允許用戶在不同區塊鏈之間轉移數字資產的協議。
個人要想將他們的數字資產從一個區塊鏈轉移到另一個區塊鏈,就必須使用跨鏈橋來實現這一目的。這些協議的工作原理是,個人投資者將其代幣存入一條鏈上,并在另一條鏈上接收債務代幣。當個人在一條鏈上銷毀了他們的債務代幣,存款就會在另一條鏈上釋放。
為了實現這一目的,跨鏈橋結合了多種結構,這同樣給予了黑客多種攻擊途徑,使得其尤為脆弱。
Nomad橋的漏洞位于初始化過程中,其中“commitedRoot”被初始化為零,因此,攻擊者能夠使用任意“_message”直接調用“process(byte memory _message)”函數來繞過驗證,并從跨鏈協議中竊取代幣。而其他用戶也可以通過復制原始黑客的交易調用數據,并用個人地址替換原始地址來轉移代幣。在四個小時內,多名黑客和社區成員成功復制了最初的攻擊。最終,Nomad價值約1.9億美元的代幣被轉移一空。
這次攻擊不是由單個攻擊者實行,除渾水得利的人外,可能還有許多白帽黑客或安全研究人員參與其中,將代幣轉移到他們自己的地址以實施保護,這部分人有退還資金的可能。因此,Nomad提供了一個可以退還的錢包地址。
值得注意的是,到2022年為止,五次跨鏈橋攻擊已導致13.17億美元的損失。跨鏈橋所固有的安全漏洞,加上缺乏防御攻擊的專業知識,導致了如此結果。Nomad Bridge事件所涉金額今年排名第三,僅次于Ronin Bridge(6.24億美元)和Wormhole Bridge(3.26億美元)的漏洞利用事件。
區塊鏈安全公司certik對該事件的分析報告鏈接:
https://www.certik.com/resources/blog/28fMavD63CpZJOKOjb9DX3-nomad-bridge-exploit-incident-analysis
