黑客从Nomad中抽走了近2亿美元的加密货币。Nomad是一种让用户在一个区块链之间交换代币的工具。这是又一次突显去中心化金融领域弱点的攻击。
Nomad周一晚些时候在推特上承认了这一漏洞。
该初创公司表示:“我们已经注意到涉及Nomad令牌桥的事件。”“我们目前正在调查,一旦有了最新消息,我们将提供最新消息。”
目前还不完全清楚这次攻击是如何策划的,也不清楚Nomad是否计划补偿在攻击中丢失代币的用户。当CNBC联系到该公司时,该公司没有立即置评。该公司将自己标榜为“安全跨链消息”服务。
区块链安全专家将该漏洞描述为“免费开放”。任何了解这一漏洞及其工作原理的人都可以抓住这一漏洞,从Nomad中提取一定数量的代币——有点像按动一个按钮就能吐出钱的自动提款机。
这始于对Nomad代码的升级。当用户决定启动转账时,代码的一部分被标记为有效,这允许小偷提取比存入平台的资产更多的资产。一旦其他攻击者了解到发生了什么,他们就部署了大量的机器人进行模仿攻击。
加密初创公司Analog的创始人兼首席架构师Victor Young表示:“如果没有事先的编程经验,任何用户都可以简单地复制原始攻击者的事务调用数据,并用自己的地址替换该地址,从而利用该协议。”
“与以前的攻击不同,Nomad黑客攻击变成了一场混战,多个用户开始通过简单地重放最初攻击者的事务调用数据来耗尽网络。”
专注于加密货币的投资公司Paradigm的研究合伙人Sam Sun将此次攻击描述为“Web3所见过的最混乱的黑客之一”——Web3是基于区块链技术构建的一种假设的未来互联网迭代。
Nomad是一种被称为“桥梁”的工具,它允许用户在不同的加密网络之间交换令牌和信息。它们被用作在像以太坊这样的区块链上直接进行交易的替代方案,当有很多活动同时发生时,区块链可以向用户收取高额的处理费。
桥梁的漏洞和糟糕的设计使其成为黑客的主要目标,他们试图从投资者那里骗取数百万美元。根据加密合规公司Elliptic的一份报告,到目前为止,2022年已有超过10亿美元的加密资产通过桥的漏洞被盗。
今年4月,一座名为Ronin的区块链桥被利用,进行了价值6亿美元的加密货币抢劫,美国官员认为是朝鲜所为。几个月后,另一座桥梁和谐号在一次类似的袭击中损失了1亿美元。
就像Ronin和Harmony一样,Nomad是通过代码中的一个漏洞被锁定的,但也有一些不同。通过这些攻击,黑客能够获取控制网络所需的私钥,并开始转移令牌。在Nomad的案例中,情况要简单得多。桥的一次例行更新使用户能够伪造交易,盗走价值数百万美元的加密货币。