Web3史上首次黑客“混戰”：Nomad跨鏈橋被攻擊事件分析_ETH:ETH挖礦app下載

就在本月初，一個名為Nomad的跨鏈橋協議，遭受到了Web3.0有史以來最混亂的一次黑客攻擊，攻擊發生期間WETH和WBTC以每次百萬美元的速度被持續轉出，參與此次攻擊的黑客地址超500條，短時間內，Nomad跨鏈橋中鎖定的近2億美元資產被洗劫一空。

從Multichain到AxieInfinity側鏈Ronin，再到如今的Nomad跨鏈橋，公開數據統計顯示，自今年年初以來，黑客們通過跨鏈橋已經竊取了超過14億美元。頻發的區塊鏈安全事件中，跨鏈橋儼然成為了網絡犯罪分子們的“新寵”。

跨鏈和跨鏈橋

跨鏈技術伴隨著區塊鏈的發展一直存在。

由于以太坊是第一個支持完全可編程的智能合約網絡，所以大部分智能合約應用都部署在以太坊主網上。但隨著用戶對智能合約需求的不斷增加，以太坊上的計算資源出現了供不應求的現象，這也導致了交易費的不斷攀升。于是人們便尋求其他低成本的解決方案，將智能合約開始部署在其他Layer1區塊鏈、側鏈以及Layer2rollup上，以此來滿足用戶和開發者的需求。然而，這些鏈上的資產之間無法直接流動，大大阻礙了整個區塊鏈行業的發展，因此，可以使鏈間實現價值轉移的跨鏈技術應運而生。

我們都知道，如今的區塊鏈就像早期的互聯網，各種公鏈各自發展，自成一套規則、協議和共識機制，相當于一個個獨立的生態，它們之間并不相通，也就是人們常說的“價值的孤島”。跨鏈就是連接這些“島嶼”——將孤立在兩條或多條平行公鏈上的資產，進行直接流通的一種技術；跨鏈橋，則是公鏈間資產跨鏈的一種工具。跨鏈并沒有改變每個區塊鏈上的價值總額，只是不同鏈上的地址之間進行了價值的兌換。

Web3基礎設施初創公司Kolibrio完成200萬美元種子輪融資:金色財經報道，Web3基礎設施初創公司Kolibrio完成200萬美元種子輪融資，Jump Crypto領投，Delta Blockchain Fund、Everstake Capital等參投。

Kolibrio旨在通過提供鏈上訂單流拍賣系統 (OFA) 來解決最大可提取價值 (MEV) 問題，該系統可供錢包、節點提供商和dApp等訂單流發起者使用，以使最終用戶受益。[2023/2/16 12:09:22]

黑客頻頻“光顧”跨鏈橋

DeFi加密資產規模的增長，促成了一個又一個“橋”的建成，跨鏈橋上的總鎖倉量也日益增大。因為跨鏈協議負責鎖定資產，以支撐另一條鏈上的平行資產，所以該儲存點很容易成為目標，引來黑客們的頻繁“光顧”。

同時，跨鏈作為一項發展中的技術，其本身還存在很大的安全問題。由于跨鏈項目不僅僅是鏈上智能合約，還有鏈下的代碼，無論哪一部分出現了問題，都會被黑客所利用。

知帆安全團隊盤點了過去跨鏈橋中比較重大的10次攻擊情況，其中RoninNetwork被盜一事，更是被稱為DeFi史上最大的黑客攻擊事件，被盜金額高達6.2億美元。

DeFi安全事故頻發，跨鏈橋資金量大，并且頻繁遭受攻擊。此次Nomad跨鏈橋被洗劫一事，更是被網友戲稱，“甚至連「黑客技術」都沒有用到”。

Nomad被攻擊始末

北京時間8月2日，跨鏈互操作性協議Nomad橋遭黑客攻擊，Nomad上近2億美元的TVL在短時間內被攻擊者“掏空”。起因是一名黑客發現了Nomad跨鏈橋合約副本存在一個巨大漏洞，其盜幣完成后將此漏洞在社交平臺公布，引發眾人競相效仿，哄搶平臺中的資產。

《龍與地下城》擬放棄實施NFT等衍生Web3內容禁令:金色財經報道，知名游戲《龍與地下城》游戲商 Wizards of the Coast 向玩家和內容創作者“投降”，宣布不會推進修改擬議的游戲許可協議，包括不會限制衍生 NFT 項目。本月初，Wizards of the Coast 宣布將修改許可變更，NFT 等衍生Web3 內容在新規則下將會被禁止，Wizards of the Coast 在 2022 年首次分享了《龍與地下城》的開放游戲許可證（OGL）計劃，允許粉絲和其他公司創作和銷售受游戲啟發的衍生作品，包括 NFT 數字藏品等，但之后遭到社區反對，不過現在該游戲社區成員以壓倒性多數投票反對未決的許可證更新，86% 對相關政策不滿意，包括禁止第三方創作者衍生 NFT。（decrypt）[2023/1/31 11:38:52]

此次攻擊事件堪稱一場Web3.0版“薅羊毛”——黑客薅完平臺羊毛，還把方法發在了“羊毛群”，引發眾羊毛黨一擁而上，直接把平臺“薅”垮。

1、漏洞分析

1-1合約地址

此次事件的漏洞合約地址為：

0x5d94309e5a0090b165fa4181519701637b6daeba

0xB92336759618F55bd0F8313bd843604592E27bd8

Nomad橋資產合約地址為：

0x88A69B4E698A4B090DF6CF5Bd7B2D47325Ad30A3

1-2攻擊過程

此次攻擊分為四步進行：

Step1

攻擊者調用了Replica合約中的process函數。

迪士尼在其音樂商城推出Web3體驗:金色財經報道，迪士尼宣布與虛擬電子商務平臺Obsess合作，在其音樂商城推出 Web3 體驗。用戶可在商城中進行全景虛擬體驗，并通過點擊虛擬空間中的各種黑膠唱片和 CD 來探索流行的迪士尼電影和電視節目中的配樂和歌曲。

此前消息，7月14日，迪士尼今年推出專注于 AR、NFT 和 AI 領域的加速器計劃，旨在加速全球創新公司的發展。入選2022年迪士尼加速器計劃的公司包括：Polygon、Web3社交應用 Flickplay、Web3 創作者平臺 Lockerverse、體驗式電商平臺 Obsess、 AR 公司 Red 6、人工智能驅動的虛擬交互式應用 Inworld。[2022/10/21 16:34:49]

Step2

process函數調用了acceptableRoot，這個函數是保證提交過的message被驗證過。但由于acceptableRoot(0x00)在初始化的時候被設置成了True，并且在solidity中如果map映射中沒有對應的鍵的時候，它會自動返回0，所以message就被設置為了0,這樣攻擊者就繞過了require的檢查。

Step3

進入到了acceptableRoot(_root)函數,_root為0時，confirmAt=1,保證了confirmAt滿足不為零且小于等于block.timestamp的值。

Opyn：支持以太坊合并，并不計劃Opyn Web應用程序中分叉:9月13日，據Opyn官方公告，Opyn將支持以太坊合并，并表示，沒有計劃在Web應用程序中支持任何分叉。目前，Opyn僅適用于正在遷移到PoS的規范鏈。如果出現規范的PoW ETH分叉，Squeeth接口將不支持分叉的PoW Squeeth、vault NFTs或Crab Vault接受代幣。

此外，Opyn官方還表示，如果合并成功，Squeeth協議將通過從工作量證明（PoW）到權益證明（PoS）的過渡并繼續正常運作，無需用戶任何操作。[2022/9/13 13:25:37]

Step4

然后回到process函數中，在了解了上述漏洞產生的原因后，只需要每次輸入沒有被使用過的_messageHash，就能在messagesmapping中獲取到0值，從而繞過!proven的檢測，最終從跨鏈橋上盜取資產。

由于Replica合約初始化時，默認零值為True，導致之后合約中的confirmAt均為true。在process方法中可直接通過判斷條件，導致每條消息在默認情況下都被證明有效，項目方的資金池就成了一個大眾都可以提錢的公共的資金池。

總而言之，就像引發這個惡性事件的匿名discord消息所說的一樣，任何人只需要復制第一個黑客的交易并更改地址，然后點擊通過Etherscan發送，“就可以在Nomad橋上搞到三千到兩萬美元”。

2、鏈上分析

由于方法極其簡單，而且Nomad項目方沒有緊急停止機制，此次攻擊事件有大量普通用戶參與其中。8月3日官方發布返還被盜資金說明，請求白帽黑客將資金返還到官方資金回收錢包，并在5日補充稱，“將為歸還至少90%所盜資金的攻擊者提供最高10%的獎勵”。

Web 3.0訂閱NFT社交網絡ShowMe正式版上線Polygon:12月31日消息，Web 3.0訂閱NFT社交網絡ShowMe今日正式登陸Polygon，并計劃近期陸續支持Ethereum、BSC、Avalanche、MoonRiver、Harmony、PlatON等網絡。

據悉，ShowMe是一個基于Web 3.0 的訂閱NFT社交網絡，通過訂閱和PONA（Proof of NFT Achievements）來支持項目、社區、KOLs、DAO、Gamefi等。訂閱支持創作者設定多種進入Club的訂閱方式：免費訂閱、付費訂閱、持倉NFT和持倉Token訂閱。PONA是一個基于鏈上可自動升級的NFT徽章體系，通過等級、任務和活動等多種類型的NFT等級和數量可以精確衡量每一個用戶對創作者的價值。[2021/12/31 8:17:01]

知帆安全團隊對此次Nomad跨鏈橋攻擊事件的相關地址進行了分析，從鏈上獲取了自UTC時間2022年8月1日21:32至2022年8月2日0:05時間內的1206條交易，共涉及ETH地址和合約585個，幣種14個。

這些攻擊地址分為兩種，一是幫助項目減少損失的白帽地址，二是從事惡意攻擊的黑客地址。我們來重點分析一下惡意攻擊的黑客地址。

經過分析判斷，獲利額度在百萬美元以上的黑客地址實體有10個，獲利情況如下圖：

接下來，我們分別看一下每個攻擊者實體具體的資金流向。

攻擊者1

攻擊者1在此次攻擊中獲利約6000萬美元，涉及普通地址2個與合約地址11個。攻擊者1獲取Nomad項目資金的方式主要有三種。

第一種：地址直接調用項目方的漏洞合約，給自己的地址轉幣。

第二種：地址通過自建合約調用項目方的漏洞合約，將項目方資金轉到自建合約后再轉到自己地址。

第三種：地址通過自建合約調用項目方的漏洞合約，將項目方資金轉到自建合約后再進行換幣操作兌換為ETH，隨后將ETH提到自己的地址或者與自己相關的地址。

目前攻擊者0在Nomad項目中獲取的資金，全部保存在2條普通地址中，未發生轉移。

地址1：0x56d8b635a7c88fd1104d23d632af40c1c3aac4e3

地址2：0xb5c55f76f90cc528b2609109ca14d8d84593590e

兩條地址的余額情況

地址1：12,869.99ETH、10203.49WETH、7123204.2DAI、37514864.7CQT、12502.96FXS；

地址2：810.95ETH、3450068.37DAI、103WBTC、300WETH、2706359.86CQT、14004.36FXS。

攻擊者2

攻擊者2地址：0xbf293d5138a2a1ba407b43672643434c43827179。

攻擊者2在此次事件獲利約4000萬美元，涉及普通地址1個及合約地址200個。攻擊者2直接調用項目方漏洞合約進行了一次攻擊獲取3WBTC，之后全部都是調用合約對Nomad資金池進行攻擊，合約獲得資金后將資金直接轉移到了地址7179中，之后資金都未發生移動。

目前地址7179中余額

17.74ETH、39753037.51DAI。

攻擊者3

攻擊者3在此次事件中獲利1000多萬美元，是一個合約地址。

通過分析發現，此合約被調用65次攻擊Nomad資金池，每次攻擊后都將獲得的資金轉入至地址0x56178a0d5f301baf6cf3e1cd53d9863437345bf9，目前資金仍存在于這個地址中。

攻擊者4

攻擊者4在此次事件中獲利約800萬美元，涉及普通地址11個。

攻擊者4在Nomad項目中獲取資金后，將所獲得的幣種全部兌換為了ETH，共計4788.99ETH。之后通過三個地址充值到了Tornado中進行混幣操作。

攻擊者5

攻擊者5在此次事件中獲利740多萬美元，涉及普通地址3個及合約地址4個。

攻擊者5在Nomad項目中獲取資金后，將資金全部兌換為了ETH，其中有540ETH通過3個地址中的一個被充值到Tornado進行混幣，剩下的全部留在了剩下的兩個地址中，共計3129.29ETH。

攻擊者6

攻擊者6在此次事件中獲利600多萬美元，涉及普通地址2個及合約地址20個。

攻擊者6在Nomad項目中獲取資金后，進行過換幣提幣的操作，目前全部資金都沉淀在兩個地址中，余額為1197354.04CQT、450120C3、5750025.15DAI、133.91ETH。

攻擊者7

攻擊者7在此次事件中獲利500多萬美元，涉及地址3個。

攻擊者7在Nomad項目中獲得資金后，全部兌換為了ETH，共計3100.72個，全部通過地址0x72ccbb2002254bd8a0485d13a3a2faa9b0f992c6充值到Tornado進行混幣。

攻擊者8

攻擊者8在此次事件中獲利約440萬美元，涉及普通地址2個及合約地址2個。

攻擊者8在Nomad項目中獲取資金后全部兌換為了ETH，之后在兩個地址上沉淀，共計2223.03個ETH。

攻擊者9

攻擊者9在此次事件中獲利約175萬美元，涉及地址2個。

攻擊者9在項目Nomad中獲取資金后，將其中的一部分兌換為71.51個ETH在其中一個地址沉淀，其余幣種也全部都留在這兩個地址未發生轉移。

攻擊者10

攻擊者10在此次事件中獲利140多萬美元，涉及地址1個。

攻擊者10在項目Nomad中獲取資金后，進行過兩筆換幣，將USDC和FRAX兌換為了DAI，之后資金在此地址沉淀，目前地址中余額為：1402215.46DAI、150040CQT。

3、總結

8月18日，Nomad發布了“復蘇之路”計劃，將在未來幾月內重啟跨鏈橋和分配回收資金。截止發稿，近20%的被盜資金已返還至Nomad資金回收地址，目前仍有大量資金沉淀在攻擊者地址中。預計黑客后續將會通過Tornado等混幣平臺洗錢以逃避追蹤，知帆安全團隊將持續關注攻擊者地址。

安全提醒

Nomad平臺通過懸賞的方式以期追回資產，再一次將虛擬貨幣領域的安全問題暴露在大眾視野。隨著虛擬貨幣市場的快速增長，網絡安全問題也日益凸顯，網絡犯罪頻頻發生，一度造成嚴重后果。此次Nomad被攻擊事件中，如果黑客不打算歸還資金，那么官方將難追回這部分損失。

知帆安全團隊提醒加密機構不斷尋求可靠的安全措施，以保證平臺和用戶的資產安全，同時提醒廣大用戶，目前區塊鏈技術尚處于早期發展階段，仍存在很大的風險，全球相關監管和措施也尚不完備，投資需謹慎。對于監管和執法機構來說，未來還會有許多區塊鏈安全事件發生，監管和執法上都將面臨極大的挑戰。知帆科技作為行業領先的區塊鏈大數據分析安全公司，一直利用自身在區塊鏈大數據領域的優勢和積累，幫助等監管機構解決涉虛擬貨幣相關案件查證難題，為共同構建區塊鏈生態安全不斷努力。

Tags：ETH區塊鏈DAIETH錢包地址ETH挖礦app下載Etherael指什么寓意區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢DAI價格DAI幣

歐易交易所app官網下載