Nomad跨鏈橋遭駭1.9億美元TVL歸零！離譜漏洞讓人輕易複製攻擊

跨鏈橋協議 Nomad 今（2）日清晨傳出遭駭客攻擊，協議中近 1.9 億美元資產已幾乎耗盡。離譜的是，此次安全漏洞任何人只要複製駭客的交易調用數據，並把錢包換成自己的就可成功獲取協議資金。
（前情提要：Horizon跨鏈橋1億鎂駭案》1.8萬枚ETH贓款已全數匯入Tornado，ONE跌至新低）
（背景補充：教學 | 讀懂6種區塊鏈「橋」: 跨鏈 多鏈…如何打破Crypto世界的信任邊界？）

推特上一位幣圈 KOL foobar 今（2）日凌晨六點半左右發推表示，Nomad 正遭受駭客攻擊，數百萬的 WETH 和 WBTC 正批量轉出，表示合約中仍有 1.26 億美元可能存在風險，提醒用戶儘快撤回所有資金。

Nomad bridge getting actively hacked. WETH and WBTC being taken out in million-dollar increments. Withdraw all funds if you can, still $126m remaining in the contract that's likely at risk pic.twitter.com/oDo7oT1glW

— foobar (@0xfoobar) August 1, 2022

TVL 近乎歸零，數百名用戶以同樣方式攻擊

Nomad 遭攻擊後的資金流出非常快速，據 Defillama 鏈上數據， 該項目的總鎖倉價值（TVL）已從攻擊發生前一日的 1.9 億美元，大幅驟降至當前僅剩 4,500 美元，近乎歸零。

且令人震驚的是，foobar 在後續貼文指出，這次 Nomad 的攻擊不是閃電貸、也不是駭客團體為之。在最初的攻擊者襲擊後，數百個不同的帳戶發現了駭客的攻擊手段，並複制了一樣的調用數據來獲取 Nomad 中的資金！

此漏洞一個令人困惑的地方是，所有用戶要破解橋的漏洞，只需複制原始駭客的交易調用數據並將原始地址替換為個人地址，然後貼上就會成功…

不幸的是，團隊在 41 天前調用 “initialize()” 函數時意外將零根 (0x00) 標記為可接受的根…導致每條消息在默認情況下都被證明是有效的。

From $190,740,000 to $1,794 in hours

But it wasn't a flashloan, or even carried out by a single group

After an initial attacker struck, hundreds of separate accounts figured out the trick and copypasta-ed their way into grabbing stolen funds pic.twitter.com/ef0A9djdnf

— foobar (@0xfoobar) August 2, 2022

部分白帽駭客表示願意歸還資金

唯一感到慶幸的是，有一些知道如何調用攻擊的白帽駭客在獲取 Nomad 橋的資金後，公開表態願意歸還資金，初步估計就有數百萬美元。

A perplexing aspect of this vulnerability was that all users had to do to hack bridge funds was copy the original hacker's transaction calldata, replace the original address with a personal one, and the tx would succeed!

Easy as CTRL-C, CTRL-V

Why was it possible?

— foobar (@0xfoobar) August 2, 2022

有用戶懷疑是監守自盜

由於造成 Nomad 這次攻擊的安全漏洞非常離譜，就有用戶批評「合约可随意升级，去中心化的項目都是虛有其表」、甚至懷疑是項目方監守自盜。

nomad 這事，項目方監守自盜的可能性太高了。宣布融資消息，跟銀河合作搞活動，然後升級合約留個低級錯誤，捲錢走人。

據悉，Nomad 才剛在上週 28 日宣布獲得：Coinbase Ventures、OpenSea…等多家知名風投的種子輪融資，使其獲得了 2.25 億美元的估值，不料短短不到一週就遭到毀滅性打擊。

Today we’re happy to publicly reveal some of crypto's most trusted brands as part of the cohort of seed round investors in Nomad: ✨

– @coinbase Ventures
– @Cryptocom_Cap
– @0xPolygon
– @opensea
– @wintermute_t
– @GnosisDAO
– Algaé (https://t.co/d1YSNVZqjo)

0/ pic.twitter.com/2hBkS3Ztai

— Nomad (⤭⛓🏛) (@nomadxyz_) July 28, 2022

慢霧：9500 萬美元被盜資金留在 3 個地址

目前據慢霧科技監測數據顯示 Nomad 攻擊事件中，有超過 9500 萬美元的被盜資金轉移進以下 3 個地址：

• 地址 1 (0×56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3），有約 4700 萬美元的加密資產
• 地址 2 (0xBF293D5138a2a1BA407B43672643434C43827179），有約 3970 萬美元的加密資產
• 地址 3 (0xB5C55+76+90Cc528B2609109Ca14d8d84593590E），有約 800 萬美元的加密資產

Here's the addresses and how much is in each one.

Address 1: 0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3 ~$47M

Address 2: 0xBF293D5138a2a1BA407B43672643434C43827179 ~39.7M

Address 3: 0xB5C55f76f90Cc528B2609109Ca14d8d84593590E ~$8M

— SlowMist (@SlowMist_Team) August 2, 2022

📍相關報導📍

Solana | Crema Finance 遭閃電貸損超600萬鎂、TVL 降70%，官方 : 已暫停 展開調查

Crema Finance 駭客洗白！歸還 800 萬鎂被盜資產，官方 : 將提補償方案、重啟協議

北韓如何養出駭客大軍？匿名研究者揭「39號室」新生財之道