复制成功

分享至

OKX > 快讯 >

Crypto Bridge Nomad 在“疯狂的免费混战”中以 1.9 亿美元的价格被利用

2022.08.03

自 3 月份 Axie Infinity 的Ronin Bridge 侧链以来,最广泛的黑客攻击之一是对 Nomad 代币桥的利用,使攻击者能够抢劫大约 1.9 亿美元的桥。


“我们知道涉及 Nomad 代币桥的事件。我们目前正在调查,并会在我们有更新时提供更新,”Nomad周一下午在推特上写道。




Nomad 桥是一种允许用户在不同区块链之间移动数字资产的协议,包括Avalanche (AVAX)、以太坊(ETH)、Evmos (EVMOS)、Milkomeda C1 和 Moonbeam (GLMR)。



随着资金从协议中撤出,Nomad TVL 暴跌。图片:DeFi Llama

虽然来自 Nomad 的细节很少,但有人指出Nomad 用来处理消息 的智能合约中的配置错误是原因,导致数以百万计的资金从 Nomad 的流动资金池中流失。


“这一切都始于@officer_cia 在 ETHSecurity Telegram 频道中分享@spreekaway 的推文,”加密投资公司 Paradigm 的研究员 Sam Sun 在推特上写道。“虽然当时我不知道发生了什么,但离开大桥的资产数量之多显然是一个不好的迹象。”




“事实证明,在例行升级期间,”孙继续说道。“Nomad 团队将可信根初始化为 0x00。需要明确的是,使用零值作为初始化值是一种常见的做法。不幸的是,在这种情况下,它对自动验证每条消息有一点副作用。”




游牧桥袭击“疯狂的混战”


Sun 将接下来发生的事情比作“疯狂的混战”,因为利用该漏洞几乎不需要技术知识。 


“你不需要了解 Solidity 或 Merkle Trees 或类似的东西,”Sun 写道。“你所要做的就是找到一个有效的交易,用你的地址找到/替换其他人的地址,然后重新广播它。”  


同样,区块链安全公司Certik报告称,攻击者可以通过简单地复制和粘贴交易来利用该漏洞。该公司补充说,人们可以“通过复制原始黑客的交易调用数据并用个人地址替换原始地址”来利用升级。




这样,这座桥几乎耗尽了所有资金。


“Nomad 的网桥以与 Qubit 的 QBridge 类似的方式拥有,”a16z 安全工程师 Matt Gleason 在推特上写道。“网桥的不安全配置导致特定路径允许发送任何事务。错误在副本的‘进程’函数内部。”




他补充说:“该系统将接受它以前从未见过的任何消息,并像处理它一样处理它,这意味着你需要做的就是要求所有桥梁的钱,你就会得到它。”


根据 FTC 的说法,针对加密项目的网络攻击似乎没有放缓的迹象,自 2021 年以来,超过 10 亿美元的加密被盗。

免责声明:数字资产交易涉及重大风险,本资料不应作为投资决策依据,亦不应被解释为从事投资交易的建议。请确保充分了解所涉及的风险并谨慎投资。本站资讯仅提供信息参考,不构成任何投资建议,用户一切投资行为与本站无关。

相关推荐

industry-frontier