跨链桥世界的新黑客:Nomad遭受了其智能合约中的一个缺陷的利用,导致1.9亿美元,或几乎所有的锁定价值(TVL)被抽走。然而,一些人利用这一缺陷,尽可能多地提取资金以保护它们,说他们准备尽快把它们送回去。
Nomad跨链桥的灾难
一夜之间使用了一个大规模的漏洞,导致Nomad跨链桥上超过1.9亿美元的资金被抽走,该桥在以太坊(ETH)、Avalanche(AVAX)、Moonbeam(GLMR)、Milkomeda C1和Evmos之间交换代币。
几乎所有的资金都在瞬间从桥上流走了,正如DefiLlama网站上的数据图表所示:
。
Nomad桥上的总价值锁定(TVL)
根据链上数据,第一笔欺诈性交易将允许一个桥梁用户提取100wBTC,这在当时价值230万美元。这个缺陷逐渐为人所知,由于智能合约的缺陷,任何人都可以多次提取相同金额的资金。
幸运的是,一些人能够在宣布他们作为白帽子保护有关资金之前,尽可能多地提取资金,一旦提供可靠的目的地地址,他们将立即归还这些资金,这笔交易就是证明。
背景下的利用
。
根据Paradigm公司研究员@samczsun的事后分析,该漏洞是Nomad桥智能合约更新的直接结果。
1/Nomad刚刚在Web3有史以来最混乱的黑客攻击中被吸干了超过1.5亿美元的资金。这到底是怎么发生的,根本原因是什么?请允许我带你到幕后 pic.twitter.com/Y7Q3fZ7ezm
– samczsun (@samczsun) August 1, 2022
当代币通过桥梁转移时,在以包装形式重新分配之前,它被锁定在一个智能合约上。
在这种情况下,智能合约的缺陷允许用户提取不属于他们的资金。以一种非常简化的方式,智能合约中的一个代码错误允许所有交易被自动验证,并在一个循环中重复。
这就是为什么这个缺陷可以被非常广泛地利用,最重要的是几乎任何人都可以利用,因为只需要很少的操作。
这一事件再次提醒人们注意跨链协议的特别暴露,这些协议往往涉及大规模的黑客攻击,其反响会机械地扩散到其他行为者。例如,在这里,Evmos区块链团队表示,这次黑客攻击对其TVL产生了重大影响。
这一漏洞超过1.9亿美元,是加密货币历史上第五大黑客攻击,仅次于2021年4月Bitmart的1.96亿美元黑客攻击。
