Nomad 跨鏈橋遭受了攻擊，導致大量惡意“複製/粘貼”行為者耗盡了協議的抵押品。

8 月 2 日凌晨，Nomad bridge 發佈了一條警報，表示它知道正在進行的漏洞利用。在接下來的幾個小時內，整個協議超過 1.9 億美元的資金被耗盡。

加密社區開發人員和白帽“samczsun”打破了事件鏈，解釋了發生的事情。他將這次攻擊稱為“Web3 所見過的最混亂的黑客攻擊之一”。

Nomad資金耗盡

研究人員在 ETHSecurity Telegram 頻道中分享了一條推文，顯示多筆資金交易離開了橋樑。乍一看，這似乎是令牌小數的錯誤配置，但 samczsun 發現：

“然而，在 Moonbeam 網絡上進行了一些痛苦的手動挖掘之後，我確認雖然 Moonbeam 交易確實橋接了 0.01 WBTC，但不知何故，以太坊交易橋接了 100 WBTC。”

這個漏洞利用的不同之處在於交易沒有被“證明”並直接執行。samczsun 說：“能夠在不先證明它的情況下處理消息是非常不好的。” 編碼人員進行了更多挖掘，並在常規 Nomad 升級期間初始化的“副本”智能合約中發現了一個致命缺陷。

他補充說，這很混亂，因為加密竊賊不需要任何技術知識。他們只需要找到一個有效的交易，用他們自己的替換目標地址，然後重新廣播它。

“例行升級將零哈希標記為有效根，其效果是允許在 Nomad 上欺騙消息。攻擊者濫用它來複制/粘貼交易，並在瘋狂的混戰中迅速耗盡了橋樑，”

TVL 歸零

Nomad 甚至發現了欺詐性地址，試圖竊取返還給橋的資金。

Nomad 是繼 Ronin Bridge、Wormhole 和Harmony的高調攻擊之後今年最新的令牌橋攻擊。

Terra研究員：Nomad攻擊事件是一場去中心化搶劫

8月2日消息，Terra研究員FatMan在推特上對Nomad遭遇攻擊事件發表評論稱：“在公共Discord服務器上彈出的一條消息稱，任意一個人都能從Nomad橋上搶了3千到2萬美元：所有人要做的就是複製第一個黑客的交易並更改地址，然後點擊通過Etherscan發送。這是在真正的加密時尚中首次發生的去中心化搶劫。”

Nomad：已通知執法部門，尋求識別相關賬戶並追回資金

針對跨鏈代幣橋攻擊導致損失接近2億美元一事，Nomad團隊表示，“調查正在進行中，已經聯繫區塊鏈情報和取證方面的主要公司協助。我們已經通知執法部門，並將夜以繼日地處理這一情況，及時提供最新信息。我們的目標是識別相關賬戶，並追蹤和追回資金。”