跨链协议Nomad在本周二(8/2)遭到黑客入侵,而且是有“一群”黑客争相转走该协议中的加密货币,企图清空Nomad上价值1.9亿美元的加密货币。
Nomad为一支持跨链通信的互动协议,允许不同区块链的用户桥接代币,也可跨链发行数字资产,并支持开发者打造原生的跨链应用程序。然而,Nomad上原本拥有1.9亿美元的总锁仓价值(Total Value Locked,TVL),但根据TVL关注平台Defi Llama的数据,Nomad的TVL在几小时之内从1.9亿美元急剧下滑至7.7万美元。
代号为foobar的去中心化金融开发者指出,Nomad已遭到实际的开采,黑客正陆续转出Nomad上的加密货币,并呼吁该平台的用户尽快将资产导出。在foobar提出警告的当下,Nomad还剩价值1.26亿美元的TVL,但Nomad上的资产快速流向四面八方,很快便所剩无几。
Nomad通过Twitter表示,该公司已得知有关Nomad代币桥所发生的意外,并正展开调查,已通知警方并邀请区块链鉴识专家协助追回资产,还说感谢白帽黑客的协助,希望这些白帽黑客能暂时持有这些资产。意味着有白帽黑客也利用同样的手法转走了资产,以免让黑客得逞。
雪上加霜的是,还有诈骗集团利用该时机,假冒为Nomad,提供了可供黑客返还资产的钱包地址。
另一方面,根据加密货币暨Web3投资公司Paradigm的分析,Nomad很可能是在调用initialize函数时,把零根(0x00)视为可接受的,带来了可自动验证每一消息的副作用,于是,黑客完全无需理解Solidity Tree或Merkle Tree,只要找到一个有效交易,再置换成自己的钱包地址,然后不断地复制/粘贴,就能快速盗走Nomad上的加密资产。
当天Nomad也发布了正式声明,表示将努力调查并收复被盗走的资产,也会修补技术上的问题。