跨鏈橋協議 Nomad 今(2)日清晨傳出遭駭客攻擊,協議中近 1.9 億美元資產已幾乎耗盡。離譜的是,此次安全漏洞任何人只要複製駭客的交易調用數據,並把錢包換成自己的就可成功獲取協議資金。
(前情提要:Horizon跨鏈橋1億鎂駭案》1.8萬枚ETH贓款已全數匯入Tornado,ONE跌至新低)
(背景補充:教學 | 讀懂6種區塊鏈「橋」: 跨鏈 多鏈…如何打破Crypto世界的信任邊界?)
推特上一位幣圈 KOL foobar 今(2)日凌晨六點半左右發推表示,Nomad 正遭受駭客攻擊,數百萬的 WETH 和 WBTC 正批量轉出,表示合約中仍有 1.26 億美元可能存在風險,提醒用戶儘快撤回所有資金。
Nomad bridge getting actively hacked. WETH and WBTC being taken out in million-dollar increments. Withdraw all funds if you can, still $126m remaining in the contract that's likely at risk pic.twitter.com/oDo7oT1glW
— foobar (@0xfoobar) August 1, 2022
TVL 近乎歸零,數百名用戶以同樣方式攻擊
Nomad 遭攻擊後的資金流出非常快速,據 Defillama 鏈上數據, 該項目的總鎖倉價值(TVL)已從攻擊發生前一日的 1.9 億美元,大幅驟降至當前僅剩 4,500 美元,近乎歸零。
且令人震驚的是,foobar 在後續貼文指出,這次 Nomad 的攻擊不是閃電貸、也不是駭客團體為之。在最初的攻擊者襲擊後,數百個不同的帳戶發現了駭客的攻擊手段,並複制了一樣的調用數據來獲取 Nomad 中的資金!
此漏洞一個令人困惑的地方是,所有用戶要破解橋的漏洞,只需複制原始駭客的交易調用數據並將原始地址替換為個人地址,然後貼上就會成功…
不幸的是,團隊在 41 天前調用 “initialize()” 函數時意外將零根 (0x00) 標記為可接受的根…導致每條消息在默認情況下都被證明是有效的。
From $190,740,000 to $1,794 in hours
But it wasn't a flashloan, or even carried out by a single group
After an initial attacker struck, hundreds of separate accounts figured out the trick and copypasta-ed their way into grabbing stolen funds pic.twitter.com/ef0A9djdnf
— foobar (@0xfoobar) August 2, 2022
部分白帽駭客表示願意歸還資金
唯一感到慶幸的是,有一些知道如何調用攻擊的白帽駭客在獲取 Nomad 橋的資金後,公開表態願意歸還資金,初步估計就有數百萬美元。
A perplexing aspect of this vulnerability was that all users had to do to hack bridge funds was copy the original hacker's transaction calldata, replace the original address with a personal one, and the tx would succeed!
Easy as CTRL-C, CTRL-V
Why was it possible?
— foobar (@0xfoobar) August 2, 2022
有用戶懷疑是監守自盜
由於造成 Nomad 這次攻擊的安全漏洞非常離譜,就有用戶批評「合约可随意升级,去中心化的項目都是虛有其表」、甚至懷疑是項目方監守自盜。
nomad 這事,項目方監守自盜的可能性太高了。宣布融資消息,跟銀河合作搞活動,然後升級合約留個低級錯誤,捲錢走人。
據悉,Nomad 才剛在上週 28 日宣布獲得:Coinbase Ventures、OpenSea…等多家知名風投的種子輪融資,使其獲得了 2.25 億美元的估值,不料短短不到一週就遭到毀滅性打擊。
Today we’re happy to publicly reveal some of crypto's most trusted brands as part of the cohort of seed round investors in Nomad: ✨
– @coinbase Ventures
– @Cryptocom_Cap
– @0xPolygon
– @opensea
– @wintermute_t
– @GnosisDAO
– Algaé (https://t.co/d1YSNVZqjo)— Nomad (⤭⛓🏛) (@nomadxyz_) July 28, 2022
慢霧:9500 萬美元被盜資金留在 3 個地址
目前據慢霧科技監測數據顯示 Nomad 攻擊事件中,有超過 9500 萬美元的被盜資金轉移進以下 3 個地址:
- 地址 1 (0×56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3),有約 4700 萬美元的加密資產
- 地址 2 (0xBF293D5138a2a1BA407B43672643434C43827179),有約 3970 萬美元的加密資產
- 地址 3 (0xB5C55+76+90Cc528B2609109Ca14d8d84593590E),有約 800 萬美元的加密資產
Here's the addresses and how much is in each one.
Address 1: 0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3 ~$47M
Address 2: 0xBF293D5138a2a1BA407B43672643434C43827179 ~39.7M
Address 3: 0xB5C55f76f90Cc528B2609109Ca14d8d84593590E ~$8M
— SlowMist (@SlowMist_Team) August 2, 2022
📍相關報導📍
Solana | Crema Finance 遭閃電貸損超600萬鎂、TVL 降70%,官方 : 已暫停 展開調查