超过3600万美元被盗资金已退回到Nomad Bridge的官方资金回收地址

2022-08-22, 05:44

[//]:content-type-MARKDOWN-DONOT-DELETE
![](https://gimg2.gateimg.com/image/article/1688623633a.jpeg)
## [TL；DR]
在黑客攻击期间，许多稳定币从该网桥被盗走，包括USDT、USDC和<a href="/zh/price/frax-frax" target="_blank" class="blog_inner_link">Frax</a>，其中一些交易是由白帽黑客完成的，他们后来承诺返还被盗资金。

Nomad公司一直在努力追回由于网桥漏洞而损失的1.9亿美元，并向归还资产的黑客提供10%的赏金。

超过3600万美元已退还到Nomad Bridge的资金回收地址。

据Nomad称，一个错误阻止了副本合约正确地验证消息。因此，依赖于副本进行入站消息身份验证的合约存在安全漏洞。由于身份验证失败，Nomad网桥路由器合约收到了欺诈性交换。

几个月前，Quantstamp对Nomad协议的代码进行了检查和审计，发现了这个黑客漏洞。但该报告将该漏洞归类为低风险。

关键词:Nomad，加密货币，跨链桥，复制粘贴攻击

上周，跨链协议[Nomad Bridge](https://app.nomad.xyz/ "Nomad Bridge")有价值1.9亿美元的资产被盗，许多人称之为“第一起去中心化盗窃”。在此次漏洞攻击发生之前，Nomad bridge有1.9亿美元的总价值锁定(TVL);然而，在本次跨链攻击期间，超过一半的钱在几个小时内便丢失了。

在一篇评论中，Nomad团队将这次攻击[描述为](https://medium.com/nomad-xyz-blog/nomad-bridge-hack-root-cause-analysis-875ad2e5aacd "描述为")“去中心化抢劫”，声称一个漏洞“使Replica合约无法正确地验证消息”。因此，任何人都可以通过复制和粘贴第一个黑客交易加入攻击。

在入侵过程中，[包括](https://defi-planet.com/2022/08/more-than-36-million-returned-to-nomad-bridges-fund-recovery-address/ "包括")USDT、USDC和Frax在内的许多稳定币被从桥上移除，之后Nomad团队[敦促](https://twitter.com/nomadxyz_/status/1554679735006859264?t=S1zGtHOY8DeAtGEablE5PQ&s=19 "敦促")白帽黑客将窃款返还到指定地址。

（转述）“亲爱的白帽黑客和保护ETH/ERC-20代币的道德研究员朋友们，

请将资金转移到以太坊上的以下钱包地址：
0x94A84433101A10aEda762968f6995c574D1bF154”。

## 超过3600万美元已退还到Nomad的回收钱包。
据Peckshield报告称，[截至8月5日](https://cryptonews.com/news/over-usd-36m-returned-nomad-bridges-fund-recovery-address.htm "截至8月5日")，白帽黑客从Nomad Bridge[窃取的1.9亿美元](https://cryptoslate.com/nomad-bridge-drained-of-190m-after-hundreds-of-addresses-copy-hackers-code/ "窃取的1.9亿美元")中，已经归还了约2200万美元。据区块链保安公司估计，[赔偿](https://cryptoslate.com/whitehat-hackers-refund-9m-to-nomad/ "赔偿")金额约为大桥总损失的4.8%。大约11.6%的被盗资金已被追回，而50%的资金自入侵后仍保持稳定。

同时，目前（[截至8月8日](https://twitter.com/nomadxyz_/status/1556681397993058304?s=20&t=lQAZyDunyiuLiw66mj1gIw "截至8月8日")）Etherscan上的交易记录显示，恢复钱包持有价值3640万美元的加密货币。到目前为止，[已经有超过3600万美元](https://cryptonews.com/news/over-usd-36m-returned-nomad-bridges-fund-recovery-address.htm "已经有超过3600万美元")的资金退还到Nomad Bridge提供的官方资金回收地址。
![](https://gimg2.gateimg.com/image/article/1688623796b.jpeg)
图源： [Twitter](https://twitter.com/nomadxyz_/status/1556681397993058304?s=20&t=lQAZyDunyiuLiw66mj1gIw "Twitter")

白帽黑客获得了10%的赏金。

Nomad于8月3日发布了官方的资金追回钱包，该团队明确表示，任何至少归还90%被盗资金的人都将被视为白帽黑客。这意味着Nomad不会对他们提出刑事指控。然而，据说在Nomad团队宣布10%的赏金后，被偷的钱得到了回报。截至8月5日，大多数白帽黑客反馈已归还了2200万美元。

目前，该钱包，“官方Nomad资金回收地址”，由Etherscan提及，已获得21795 ETH(390万美元)，977万USDC, 500万USDT, 196 WBTC(470万美元)，370万DAI，以及不同数量的其他ERC-20代币。对返还资金的审查显示，其中大部分是稳定币。其他返回的代币包括SUSHI、WETH、以太坊等。据DeFi Llama报告称，截至8月10日，该项目锁定的总价值(TVL)为95,963美元。

周一，该团队宣布创建Nomad官方通信密钥，该密钥将用于向未支付的钱包地址发送链上消息，以找到更多的“白帽黑客”，追回更多的钱。
![](https://gimg2.gateimg.com/image/article/1688623847c.jpeg)
图源：[Twitter](https://twitter.com/nomadxyz_/status/1556760803386175488?s=20&t=rjIPUDfkemNi7xI27-TwQg "Twitter")

## Nomad的下一步行动

Nomad[表示](https://cryptoslate.com/nomad-bridge-offers-10-bounty-to-recover-stolen-funds-whitehat-hackers-have-returned-22m/ "表示")，它积极与执法官员和区块链公司合作，确保所有客户的资金都被追回。Nomad联合创始人兼首席执行官Pranay Mohan也评论道：

“加密领域最重要的是社区，我们的首要目标是恢复跨桥用户资金。”

Nomad向那些不会走和平路线的黑客发出[警告](https://cryptoslate.com/nomad-bridge-offers-10-bounty-to-recover-stolen-funds-whitehat-hackers-have-returned-22m/ "警告")，强调它涉及所有相关机构的支持，如领先的连锁分析/情报公司TRM Labs和执法部门，以追踪被盗资金并起诉相关责任人。加密桥协议Nomad还[透露](https://cryptoslate.com/whitehat-hackers-refund-9m-to-nomad/ "透露")，它与托管公司Anchorage Digital合作，“接受和保护”回收的资金。

在8月9日的[后续推文](https://cryptonews.com/news/over-usd-36m-returned-nomad-bridges-fund-recovery-address.htm "后续推文")中，Nomad承认某些地址帮助将1660万美元返还到回收地址。
![](https://gimg2.gateimg.com/image/article/1688623864d.jpeg)
图源：[Twitter](https://twitter.com/nomadxyz_/status/1557064592303394818?s=20&t=x99pXm5SeOHZec6lnrr0yw "Twitter")
## Nomad否认事先收到袭击警告的说法

随着加密货币行业中相关传言愈演愈烈，Nomad团队不得不公开声明确实收到了关于其代码存在安全漏洞的警告，但没有采取任何措施。该团队声称，Quantstamp的调查曾提前警告过该公司黑客攻击的风险，但Nomad[否认](https://cryptoslate.com/whitehat-hackers-refund-9m-to-nomad/ "否认")了这一说法。据他们说，分析报告中发现的问题与此次黑客攻击无关。
## 结语
在某种程度上，Nomad凭借其迅速的行动和对重新恢复运营的信心，将自己定位为一个称职和负责的加密桥接协议。据报道，Nomad团队正全力以赴，以确保每一份被盗资产都找到并归还给其合法的主人。然而，目前还不确定如何才能找回所有丢失的资产，尽管他们表示，“Nomad正持续与社区、执法部门和区块链分析公司通力合作，以确保能归还所有资金。”
<div class="blog-details-info">
  <div>作者：**Mashell C.**，Gate.io研究员
  <div>译者：Joy Z.
  <div class="info-tips">\*本文仅代表作者观点，不构成任何交易建议。
  <div>\*本文内容为原创，版权为Gate.io所有，如需转载请注明作者和出处，否则将追究法律责任。
</div>

分享一下

荣誉积分榜

完成动态任务,升级荣誉等级

行情资讯

科普：从比特币到以太坊-为什么说以太坊是区块链2.0

2021-06-20, 09:30

行情资讯

史上最大空投可能来临：MetaMask即将推出Token

2022-03-18, 04:53

行情资讯

流动性挖矿科普：流动性有多重要？从做市商谈起

2021-07-19, 07:36