Nomad Bridge 被盜 過億美元資產如今在哪？_OMA

原文標題：《Nomad Bridge 被盜，逾十億資產如今在哪？》

撰文：郭景怡，陳森茂

2022 年 8 月 2 日，Nomad Bridge 受到攻擊。與以往安全事件不同的是，此次參與攻擊的黑客多達上百位（其中不乏白帽黑客）。其原因是攻擊手法簡單且被部分攻擊者傳播開來，任何用戶通過復制 - 粘貼成功攻擊交易的 payload、再將其中的地址信息修改為自己的任意地址，便能成功從 Nomad Bridge 提走資金。由于 Nomad 項目方沒有緊急停止機制，橋中資金幾乎被全部套出，損失約 190 M 美元。

自 8 月 3 日官方發布回收程序至今已有 12 日，Nomad Bridge 回收資產累計 37 M 美元，多數資產仍然流落在外。這些尚未歸還的資產目前停留在哪？由哪些黑客控制？我們通過這篇文章來簡單了解一下。

Binance與阿斯塔納航空公司達成合作，支持Nomad Club積分兌換BUSD:金色財經報道，據Binance官方網站報道，該交易平臺已與阿斯塔納航空公司達成合作，允許Binance用戶將其Nomad Club航空積分兌換成BUSD，BUSD兌換上限為20 BUSD，積分兌換上限為1000積分。[2023/2/1 11:41:05]

2022 年 8 月 2 日，Nomad Bridge 遭到攻擊。攻擊原理和實施細節可見?

Attack?Analysis?|?How?Unchecked?Mapping?Makes?$200M?Losses?of?Nomad?Bridge

韓國游戲巨頭Wemade將推出綜合性區塊鏈項目WeKonomy:12月18日消息，韓國游戲巨頭Wemade將推出綜合性區塊鏈項目WeKonomy。該項目將包含通過抵押品發行穩定幣的項目Kurrency（計劃2023年Q1推出）、DEX Konverter（計劃2023年Q2推出）、去中心化衍生品交易平臺Wezard以及NFT市場Weshlist。

Wemade表示，WeKonomy最初將基于Klaytn，并將擴展至以太坊Layer2網絡、WEMIX3.0等鏈。（PRNewswire）[2022/12/18 21:52:03]

2022 年 8 月 3 日，Nomad Bridge 官方發表資產回收程序：此次事件中從 Nomad Bridge

取走資產的白帽黑客 / 研究員可以將資產轉入地址 0x94A844 來實現回收。

Biconomy通過代幣銷售籌集1150萬美元:金色財經報道，多鏈交易網絡Biconomy通過在CoinList上公開出售其原生代幣BICO籌集了1150萬美元。Biconomy此前于7月從包括Coinbase Ventures和火幣創新實驗室在內的投資者那里籌集了900萬美元。[2021/10/29 21:06:46]

從 2022-08-01 9:32 PM 到 2022-08-02 12:05 AM (UTC 時間 )，共有 322 個地址通過 962 筆交易調用了漏洞合約的 process 函數累計 1177 次，Nomad Bridge 被取走 USDC、USDT、DAI、WETH、WBTC 等 14 種資產，損失累計約 190 M 美元。

區塊鏈公司Coinomo完成一筆未披露金額的融資，Vertex Ventures領投:區塊鏈公司Coinomo完成一筆未披露金額的融資，以加強其金融科技平臺，該平臺今天推出測試版。該輪融資由Vertex Ventures領投，Razer的公司風險投資部門zVentures、區塊鏈咨詢公司Spartan Group、MetaCartel Ventures的投資者Leo Cheng等參投。據悉，Coinomo是一家在Turn Capital收購臺灣Dapp Pocket后誕生的區塊鏈公司（TechinAsia）[2021/6/14 23:35:06]

與普通攻擊事件不同，此次事件中的 962 筆交易由 322 個地址發起，而這些地址大多屬于不同實體，被盜資產也分散流入到了 329 個獲利地址。截至 2022-08-15 11:00，在 329 個獲利地址中， 65 個地址返還了全部資產，50 個地址返還了 90% 資產，7 個地址返還了不到 90% 資產。此外，在 Nomad Bridge 發布回收程序之前已有 12 個地址向 Nomad: ERC20 Bridge 返還過資金，其中 11 個地址返還了全部獲利。

動態 | 以太坊成員組織的以太坊聯盟（EEA）在Token Taxonomy令牌分類計劃上與微軟摩根大通合作:據ethereumworldnews4月18日消息，以太坊成員驅動的財團企業以太坊聯盟（EEA）宣布推出區塊鏈中立的令牌分類計劃Token Taxonomy，該計劃由微軟摩根大通等知名企業參與。計劃旨在通過以非技術性，跨行業術語定義令牌來推動企業采用。隨著加密貨幣和區塊鏈的增長，不同的令牌采用開始在許多行業中傳播。EEA及其提議的令牌分類法是一項旨在為該空間帶來標準化規范。[2019/4/18]

在尚未返還資產的 195 個地址中，有 16 個地址將獲利轉移到了 Tornado.Cash，4 個地址不受攻擊者控制（不知是出于惡作劇心態還是業務能力不大熟練，有 4 筆攻擊交易的獲利地址被分別設置為 Maker、WETH、FRAX 以及空地址）。這意味著上述 20 個獲利地址中的資產大概率無法回收，這部分資產累計約 17 M 美元。此外，有 86 個地址中的獲利已經開始轉移。最后，仍有 90 個獲利地址沒有任何動靜。

在此次事件中，看似有 322 個地址獨立地發起了攻擊，但實際的攻擊者卻并不是 322 位。攻擊交易發起地址和獲利地址累計有 606 個（排除 Maker 等四個地址），經地址聚類后得到 219 個地址簇（一個地址簇中的地址有極高的概率受同一個實體控制）。這意味著攻擊者數量不會超過 219 個。

圖中?6?個獲利地址可被認為由同一實體控制

在這 219 個地址簇中，有 2 個地址簇（疑似 2 位攻擊者）掌控了近半數 Nomad Bridge 在此次事件中損失的資產。

關鍵的是，當我們從實體的維度再次統計償還情況時發現，這兩位攻擊者尚未償還任何資產。這就導致，雖然約半數攻擊者（106）選擇向項目方償還全部或部分資金（其中 100?位攻擊者還款超過 90%），但 Nomad Bridge 回收的資金卻僅有 37 M 美元，與 190 M 美元相去甚遠。

?

截止 8 月 13 日， Nomad Bridge 已經從白帽黑客手中回收了約 37M 美元的損失。遺憾的是，仍有超過 100M 美元的損失掌握在獲利最大的兩位黑客手中。這兩位黑客用于發起攻擊交易的手續費均來源于 Tornado Cash，且獲利尚未開始轉移，這使得我們很難追蹤到他們的身份（不了解 Tornado Cash 的朋友可以閱讀我們團隊的科普文章——70 億美金流轉地，Tornado Cash 的前世今生）。

BlockSec 將持續監控被盜資金動向，及時和社區共享新的發現。

BlockSec

企業專欄

閱讀更多

金色早8點

Bress

PANews

鏈捕手

財經法學

成都鏈安

Odaily星球日報

區塊律動BlockBeats

Tags：NOMMADNOMADOMANanoMeter BitcoinMAMADOGENOMAD幣OMA幣

狗狗幣價格