首頁
\
\
驗證漏洞誤事!跨鏈協議Nomad遭去中心化搶劫,損失1.9億鎂

驗證漏洞誤事!跨鏈協議Nomad遭去中心化搶劫,損失1.9億鎂

幣圈資訊 10 Total views No comments
截圖 2022 08 02 上午10.11.13

驗證漏洞誤事!跨鏈協議Nomad遭去中心化搶劫,損失1.9億鎂

今日清晨一名 Twitter 用戶 Spreek 發現資產跨鏈協議 Nomad 似乎發生 Rug 事件,有大量的代幣以每分鐘約 1,000 萬的從協議中轉出。經過查證後,發現這不單單是駭客事件,而是件去中心化的集體搶劫。

跨鏈協議 Nomad 遭駭

根據 Spreek 的推文,其於今早發現有一波波的代幣從跨鏈協議 Nomad 上轉移到各個不同地址,最初從 WBTC 開始,接者是 WETH、 等。依其觀察,代幣轉移的速度相當迅速,每分鐘約有 1,000 萬流出。

FZGynShWAAgNLgG

在此事件發生後,Nomad 上原先約 1.9 億美元的資產,當前僅剩不到千分之一,僅殘存約 782 美元。

小漏洞使 Nomad 成為眾人的提款機

在事情傳播開來後,加密投資機構 paradigm 的研究員 samczsun 及開發者 foobar 也在第一時間對此事作出解釋。其表示在研究過 Moonbean 網路後發現,透過 Nomad 從 Moonbean 跨鏈出的資產,在跨鏈至之後竟然變多了。

以下案例從 Moonbean 跨鏈出 0.01 WBTC,卻跨鏈進 100 WBTC。

FZHTs9GUUAAwTge

FZHTwoaUsAAWQQL

然而,經過進一步的觀察,samczsun 發現跨鏈至以太坊的交易並沒有授權任何東西,僅是直接呼叫了 process() 函示。

FZHUKkWUsAAKtyv

samczsun 表示這是因為 Replica 合約發生了致命缺陷,主因發生在第 185 行。此行是要確認訊息中包含可確認的 merkle root,防止用戶傳遞任意數據。

FZHVpHMVsAE8RF4

然而 foobar 表示團隊在 41 天前呼叫 initialize() 函示時,將零根 (zero root, 0x00) 標記成可接受的根。這意味著在預設情況下每條訊息都會自動證明,也就是為什麼本次駭客事件會這麼混亂且涉及這麼多人的原因。

FZHW3AIUIAAqhoX

「若用戶想要盜取跨鏈橋的資金,只需複製最初駭客呼叫的交易數據,並將原地址替換為個人地址,交易就會成功!就像 CTRL-C、CTRL-V 一樣簡單。」foobar 說道。

在駭客事件發生的期間 EVMOS 代幣上漲超過 150%,原因可能出自 Nomad 為 生態 EVM 兼容鏈 Evmos 的主要跨鏈橋,被盜資金在出金時需要 EVMOS 作為 Gas。

截圖 2022 08 02 下午2.05.35

遭駭事件後續

在事件發生後,Evmos 團隊在 Twitter 上表示正與 Nomad 團隊密切合作,而 Nomad 已暫停運行,因此用戶無法將他們的 ERC20 Wrap 資產從 Evmos 撤回到以太坊。未來會及時通知此事件對 Evmos 用戶及擁有 Nomad 資產的用戶有何影響。

A couple hours ago, the Nomad ERC20 bridge contract was exploited. Most assets have been drained. We're working closely with the Nomad team and will follow up as we get more info.

Rest assured, the Evmos chain is functioning properly. This is strictly a bridge exploit. (1/3)

— Evmos is Hiring ☄️ (@EvmosOrg) August 2, 2022

不過幸運的是,此事件也引起了部分白帽駭客的注意,並表示已救回部分資產將於日後歸還。

FZHanRDXkAYP1F2

另外,根據資安公司慢霧的追蹤,約有一半的被害資金 (約 9,500 萬美元) 集中在三個地址,目前正在監控中。

A quick update on the @nomadxyz_ attack

So far, over $95M of the stolen funds remain in the 3 addresses below.

👇

— MistTrack🕵️ (@MistTrack_io) August 2, 2022

而另一間區塊鏈資安公司派盾則發現先前 Rari Capital 被盜事件的駭客,也是本次事件的攻擊者之一。

PeckShield found that one of the @nomadxyz_ bridge exploiters is @RariCapital (Fuse Arbitrum) exploiter, who gained ~$3m in this exploit. https://t.co/Uxy66rXrJ1 pic.twitter.com/CNI71HrKri

— PeckShield Inc. (@peckshield) August 2, 2022

本文轉自網路,如有侵權請來信告知,本網站不代表任何投資建議,僅提供資訊,若用戶有任何投資相關行為皆與本站無關

本網站所載的任何資訊均不構成投資建議,投資有賺有賠,投資人應獨立判斷,審慎投資,自負

你可能會想看...

  1. 觀點|算法穩定幣的魔戒夢:LUNA 之後,不會再有下一個 UST |
  2. Tornado.cash創辦人GitHub遭停權!OFAC制裁對DeFi、礦工有何影響?
  3. The DeFi Edge:我從LUNA崩盤學到的十個教訓
  4. DeFi 穩定幣的過去與未來:寫在 Terra UST 崩盤後
  5. 全面復盤》從 LUNA、Celsius 到三箭的連環爆雷,BlockFi 是下個潛藏危機? |
  6. 解析|Near 原生「半算法穩定幣 USN」:與 UST 底層邏輯本質不同 |
  7. 「去 USDC 化」穩定幣的捍衛之路:Tornado 制裁事件引爆的監管恐懼 |
  8. Solana創辦人訪談|停機事件如同詛咒、更快的區塊鏈容錯率更低
  9. Chainalysis分析以太坊合併影響,機構投資人、質押量將增加
  10. 思考|Tornado 協議封殺事件,檢視抗審查定義與矛盾
  11. Tornado後續|名人被迫接收資金視同犯罪?Vitalik:曾用Tornado捐贈烏克蘭
  12. Bittrex正式將USDT切換至基於以太坊網路的ERC-20
  13. 2022年跨鏈橋駭客事件整理|被駭後TVL一蹶不振、Layer 2份額持續上升
  14. 10/13摘要|多位金融專家預測ETH跌至三位數、Tether回顧問世八週年
  15. zkSync生百花齊放!基礎設施項目佔據半數生態,鏈上項目一覽
  16. Yield App平台介紹|陪你度過漫漫熊市,年領7.5%比特幣、以太幣收益
  17. LayerZero 協議是什麼?第一個全鏈 NFT Gh0stly Gh0sts 誕生
  18. 11/2摘要|$MASK兩小時漲七成,奈及利亞CBDC滿週年:採用率不到0.5%
  19. Yield App Q4 報告:資管規模增長 40%,發布 Armanino 審計報告
  20. 11/3摘要|統整十月漲幅、Dapper裁員兩成、Arbitrum交易量激增是要空投了?

Related Posts

相關內容