Nomad跨链协议被黑走1.9亿美元
8月1日,Nomad跨链协议遭受了一次漏洞利用,导致价值约1.9亿美元的资产损失。
Nomad Bridge是以太坊、Moonbeam、Avalanche、Evmos和Milkomeda之间的跨链桥,一种允许用户在不同区块链之间转移数字资产的协议。
个人要想将他们的数字资产从一个区块链转移到另一个区块链,就必须使用跨链桥来实现这一目的。这些协议的工作原理是,个人投资者将其代币存入一条链上,并在另一条链上接收债务代币。当个人在一条链上销毁了他们的债务代币,存款就会在另一条链上释放。
为了实现这一目的,跨链桥结合了多种结构,这同样给予了黑客多种攻击途径,使得其尤为脆弱。
Nomad桥的漏洞位于初始化过程中,其中“commitedRoot”被初始化为零,因此,攻击者能够使用任意“_message”直接调用“process(byte memory _message)”函数来绕过验证,并从跨链协议中窃取代币。而其他用户也可以通过复制原始黑客的交易调用数据,并用个人地址替换原始地址来转移代币。在四个小时内,多名黑客和社区成员成功复制了最初的攻击。最终,Nomad价值约1.9亿美元的代币被转移一空。
这次攻击不是由单个攻击者实行,除浑水得利的人外,可能还有许多白帽黑客或安全研究人员参与其中,将代币转移到他们自己的地址以实施保护,这部分人有退还资金的可能。因此,Nomad提供了一个可以退还的钱包地址。
值得注意的是,到2022年为止,五次跨链桥攻击已导致13.17亿美元的损失。跨链桥所固有的安全漏洞,加上缺乏防御攻击的专业知识,导致了如此结果。Nomad Bridge事件所涉金额今年排名第三,仅次于Ronin Bridge(6.24亿美元)和Wormhole Bridge(3.26亿美元)的漏洞利用事件。
区块链安全公司certik对该事件的分析报告链接:
https://www.certik.com/resources/blog/28fMavD63CpZJOKOjb9DX3-nomad-bridge-exploit-incident-analysis
