跨鏈橋專案Nomad遭遇駭客攻擊,1.9億美元TVL歸零

2022-08-02 20:41  閱讀 26 次瀏覽 次

據知名區塊鏈媒體blocktempo報導,週二(8月2日),推特上一位幣圈分析師 foobar 表示,跨鏈橋Nomad 正遭受駭客攻擊,數百萬的 WETH 和 WBTC 正批量轉出,表示合約中仍有 1.26 億美元可能存在風險,提醒用戶儘快撤回所有資金。

TVL 近乎歸零,有用戶懷疑是監守自盜

Nomad 遭攻擊后的資金流出非常快速,據 Defillama 鏈上數據, 該專案的總鎖倉價值(TVL)已從攻擊發生前一日的 1.9 億美元,大幅驟降至當前僅剩 4,500 美元,近乎歸零。

由於造成 Nomad 這次攻擊的安全漏洞非常離譜,就有使用者批評「合約可隨意升級,去中心化的專案都是虛有其表」、甚至懷疑是專案方監守自盜。

nomad 這事,專案方監守自盜的可能性太高了。 宣佈融資消息,跟銀河合作搞活動,然後升級合約留個低級錯誤,卷錢走人。

據悉,Nomad 才剛在上周 28 日宣布獲得:Coinbase Ventures、OpenSea... 等多家知名風投的種子輪融資,使其獲得了 2.25 億美元的估值,不料短短不到一周就遭到毀滅性打擊。

慢霧:9500 萬美元被盜資金留在3個位址

目前據慢霧科技監測數據顯示 Nomad 攻擊事件中,有超過 9500 萬美元的被盜資金轉移進以下 3 個位址:

位址 1 (0×56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3),有約 4700 萬美元的加密資產

位址 2 (0xBF293D5138a2a1BA407B43672643434C43827179),有約 3970 萬美元的加密資產

位址 3 (0xB5C55+76+90Cc528B2609109Ca14d8d84593590E),有約 800 萬美元的加密資產

唯一感到慶幸的是,有一些知道如何調用攻擊的白帽駭客在獲取 Nomad 橋的資金後,公開表態願意歸還資金,初步估計就有數百萬美元。

為什麼「受傷的」總是跨鏈橋項目 數百名用戶以同樣方式攻擊

近期頻發的跨鏈安全問題吸引市場的廣泛關注,據律動 Blockbeats 分析,主要有幾大原因,

1、充幣。

(1)、充幣合約許可權漏洞,導致充進去的錢直接被轉走。

(2)、假幣充值問題

2、跨鏈消息轉移。

3、多重簽名驗證問題,問題多發的重災區,大多數都是代碼邏輯問題。

且令人震驚的是,foobar 在後續貼文指出,這次 Nomad 的攻擊不是閃電貸、也不是駭客團體為之。 在最初的攻擊者襲擊后,數百個不同的帳戶發現了駭客的攻擊手段,並複製了一樣的調用數據來獲取 Nomad 中的資金!

此漏洞一個令人困惑的地方是,所有使用者要破解橋的漏洞,只需複製原始駭客的交易調用數據並將原始地址替換為個人位址,然後貼上就會成功...

本文地址:https://www.glodchain.com/nomad-tvl.html
溫馨提醒:文章僅代表原作者的觀點,不能作為投資建議。

評論已關閉!