Nomad跨鏈協議被黑走1.9億美元

8月1日，Nomad跨鏈協議遭受了一次漏洞利用，導致價值約1.9億美元的資產損失。

Nomad Bridge是以太坊、Moonbeam、Avalanche、Evmos和Milkomeda之間的跨鏈橋，一種允許使用者在不同區塊鏈之間轉移數字資產的協議。

個人要想將他們的數字資產從一個區塊鏈轉移到另一個區塊鏈，就必須使用跨鏈橋來實現這一目的。這些協議的工作原理是，個人投資者將其代幣存入一條鏈上，並在另一條鏈上接收債務代幣。當個人在一條鏈上銷燬了他們的債務代幣，存款就會在另一條鏈上釋放。

為了實現這一目的，跨鏈橋結合了多種結構，這同樣給予了駭客多種攻擊途徑，使得其尤為脆弱。

Nomad橋的漏洞位於初始化過程中，其中“commitedRoot”被初始化為零，因此，攻擊者能夠使用任意“_message”直接調用“process(byte memory _message)”函式來繞過驗證，並從跨鏈協議中竊取代幣。而其他使用者也可以透過複製原始駭客的交易呼叫資料，並用個人地址替換原始地址來轉移代幣。在四個小時內，多名駭客和社群成員成功複製了最初的攻擊。最終，Nomad價值約1.9億美元的代幣被轉移一空。

這次攻擊不是由單個攻擊者實行，除渾水得利的人外，可能還有許多白帽駭客或安全研究人員參與其中，將代幣轉移到他們自己的地址以實施保護，這部分人有退還資金的可能。因此，Nomad提供了一個可以退還的錢包地址。

值得注意的是，到2022年為止，五次跨鏈橋攻擊已導致13.17億美元的損失。跨鏈橋所固有的安全漏洞，加上缺乏防禦攻擊的專業知識，導致瞭如此結果。Nomad Bridge事件所涉金額今年排名第三，僅次於Ronin Bridge（6.24億美元）和Wormhole Bridge（3.26億美元）的漏洞利用事件。

區塊鏈安全公司certik對該事件的分析報告連結：

https://www.certik.com/resources/blog/28fMavD63CpZJOKOjb9DX3-nomad-bridge-exploit-incident-analysis

編輯：左右裡

資訊來源：certik

轉載請註明出處和本文連結

每日漲知識

密碼嗅探

透過監視或監聽網路流量以檢索密碼資料來收集密碼的技術。如果使用非加密的方式傳輸，一旦資料被截獲，就容易被嗅探到傳輸資料內部的賬戶密碼資訊。

﹀

﹀

﹀