黑客從加密貨幣初創公司 Nomad 流失了近 200 億美元

黑客從 Nomad 盜取了近 200 億美元的加密貨幣，這是一種允許用戶將代幣從一個區塊鏈交換到另一個區塊鏈的工具，這是另一次突顯去中心化金融領域弱點的攻擊。

Nomad 在周一晚些時候的一條推文中承認了這一漏洞。

“我們知道涉及 Nomad 代幣橋的事件，”這家初創公司說。 “我們目前正在調查，並會在我們有更新時提供更新。”

目前尚不清楚攻擊是如何策劃的，或者 Nomad 是否計劃補償在攻擊中丟失代幣的用戶。 該公司將自己標榜為“安全的跨鏈消息傳遞”服務，在 CNBC 聯繫時沒有立即發表評論。

區塊鏈安全專家將該漏洞描述為“免費”。 任何了解該漏洞利用及其工作原理的人都可以抓住該漏洞並從 Nomad 提取一定數量的代幣——有點像一台自動提款機，只需輕按一下按鈕，就會吐出錢來。

它從升級 Nomad 的代碼開始。 每當用戶決定發起轉賬時，代碼的一部分就會被標記為有效，這使得小偷可以提取比存入平台更多的資產。 一旦其他攻擊者對正在發生的事情有所了解，他們就會部署機器人大軍來進行模仿攻擊。

“如果沒有編程經驗，任何用戶都可以簡單地複制原始攻擊者的交易調用數據，並用他們的地址替換地址來利用該協議，”加密初創公司 Analog 的創始人兼首席架構師 Victor Young 說。

“與以前的攻擊不同，Nomad hack 變成了一種免費的攻擊方式，多個用戶通過簡單地重放原始攻擊者的交易調用數據開始耗盡網絡。”

Sam Sun，專注於加密的投資公司 Paradigm 的研究合夥人， 描述 該漏洞被稱為“Web3 所見過的最混亂的黑客攻擊之一”——Web3 是圍繞區塊鏈技術構建的互聯網的假設未來迭代。

Nomad 是所謂的“橋樑”，一種允許用戶在不同加密網絡之間交換令牌和信息的工具。 它們被用作直接在區塊鏈上進行交易的替代方案，例如 以太幣，當同時發生大量活動時，它可以向用戶收取高額處理費。

漏洞實例和糟糕的設計使橋樑成為黑客試圖騙取數百萬投資者的主要目標。 根據加密合規公司 Elliptic 的一份報告，截至 1 年，已有超過 2022 億美元的加密資產通過橋接漏洞被盜。

XNUMX 月，一個名為 Ronin 的區塊鏈橋在 600 億美元的加密貨幣搶劫，此後美國官員將其歸咎於朝鮮政府。 幾個月後，另一座橋樑 Harmony 在一次類似的攻擊中損失了 100 億美元。

與 Ronin 和 Harmony 一樣，Nomad 也因其代碼中的缺陷而成為攻擊目標——但也存在一些差異。 通過這些攻擊，黑客能夠檢索獲得控製網絡所需的私鑰並開始轉移令牌。 在 Nomad 的情況下，它比這簡單得多。 橋接器的例行更新使用戶能夠偽造交易並利用價值數百萬的加密貨幣進行交易。