Nomad Bridge 是无组织复制粘贴攻击的最新受害者
Nomad Bridge 是无组织复制粘贴攻击的最新受害者,该攻击的发生是因为 Nomad 跨链桥中的一个漏洞允许众多恶意“复制/粘贴”参与者窃取协议的质押品。
Nomad Bridge 发布警告称,它在 8 月 2 日凌晨发现了一个持续的漏洞。用于治疗的全部 1.9 亿美元预算在随后的几个小时内用完。
白帽开发者和加密货币社区“samczsun”的成员打破了事件的顺序并提供了解释。 他将这次攻击描述为“Web3 所见过的最混乱的黑客攻击之一”。
1/ Nomad 刚刚在 Web3 见过的最混乱的黑客攻击之一中被榨干了超过 1.5 亿美元。 这究竟是如何发生的,根本原因是什么? 让我带你去幕后 pic.twitter.com/Y7Q3fZ7ezm
— samczsun (@samczsun) 2022 年 8 月 1 日
Nomad 是以太坊、Avalanche、Milkomeda 和 Moonbeam 之间跨链交易的代币桥梁。
Nomad Funds Drained 的研究人员在 ETHSecurity Telegram 频道上发布了一条推文,显示了许多离开桥的资金交易。 一开始好像是token十进制配置错误,但是Samczsun发现:
“然而,在 Moonbeam 网络上进行了一些痛苦的手动挖矿之后,我确认虽然 Moonbeam 交易确实桥接了 0.01 WBTC,但不知何故,以太坊交易桥接了 100 WBTC。”
交易未经“证明”并立即执行的事实将这种利用与其他利用区分开来。 Samczsun 宣称,未经验证就处理信息真的很糟糕。 程序员的进一步调查揭示了“副本”智能合约的致命弱点,该合约是在正常的 Nomad 升级期间启动的。
他继续说,加密货币窃贼缺乏技术专长这一事实使情况变得不稳定。 他们所要做的就是找到一个成功的交易,用他们自己的交易所目标地址,然后重新传输它。
“例行升级将零哈希标记为有效根,其效果是允许在 Nomad 上欺骗消息。 攻击者滥用它来复制/粘贴交易,并在疯狂的混战中迅速耗尽了桥梁,”
Nomad 甚至发现了试图窃取寄回桥上的钱的虚假地址。
根据 DefiLlama 的说法,Nomad 的全部锁定价值在过去几个小时内从 1.9038 亿美元降至 5,336 美元。
在对 Ronin Bridge、Wormhole 和 Harmony 进行广泛宣传的攻击之后,Nomad 是最新的受害者,也是今年最近的象征性桥梁攻击。
阅读最新的加密新闻。