尽管跨链桥协议Nomad的受损规模*（1.9亿美元）相对并不突出，但这起安全事故，因其攻击者规模之众、情节之曲折，已被广泛视为「加密史上最混乱的黑客攻击事件」。*

北京时间8月2日凌晨，跨链桥Nomad遭受攻击，价值约1.9亿美元的加密货币被大量攻击者非法获取。

原因在于其副本合约存在致命缺陷，在一次常规升级中开发者错误将零哈希标记为有效根，使得在 Nomad 上任何人都可以复制已存在的交易并更改地址再次提交。超过一千名攻击者利用这一点，在数个小时内，官方无法做出任何反制行动之时，将Nomad跨链桥上资产耗尽。

Nomad官方在较晚的时间发布了公告，声称给指定地址归还90%以上非法所得的地址将被视为「白帽」，不会追究其法律责任。但根据币追Bitrace团队统计，截至目前，仅有不到价值四千万美金的被盗资产被归还。

Nomad官方公告同样指出，这批攻击者中的88%都属于**「追随者」**，也即即兴地、未加任何掩饰便跟风参与作恶的地址。而根据币追Bitrace团队的挖掘，我们发现这些地址也具备诸多共同点：

• 以太坊域名。在所有攻击者地址清单中，我们找到了至少251个*.ETH* NFT，其中有许多关键词能够直接在推特等Web2平台上直接搜索到对应用户；

• 中心化机构交互。大部分地址都直接或间接与各类中心化交易所有资金关联；

• 地址历史。诸多追随者的地址及其关联地址普遍具备较高的地址年龄，在链上保持着漫长而丰富的交互记录，且具备相当数量的各类代币，以及以太坊同构链使用痕迹。

以上特点都表明参与本次事件的多数攻击者并非经过精心策划，称这次攻击事件为「实名打劫」，丝毫不为过。

简而言之，尽管加密货币地址具备高度的匿名性，但借助**DID地址画像分析技术与OSINT开源网络情报搜集工作，Bitrace安全团队依然能够从资金追溯的角度建立起多维度的地址身份画像，**进而为每个区块链地址的威胁程度做出判断。

其现实意义在于，协助各类场景建立安全防御中对地址风险的评估体系，也即：

• 为Defi项目提供建立用户风控和评级机制的数据源；

• 为区块链市场金融提供投资者分析；

• 为DApp提供威胁情报以防范链上攻击；

• 为区块链钱包的用户提供风险识别能力；

• 对于普通用户或者白帽分析人员, 也可以借助情报分析工具进行风险自查或追踪。

这里仍然以Nomad事件为例，币追Bitrace团队在针对攻击者进行DID地址画像分析过程中，挖掘出了一例典型：0x5701。该地址及其关联的其他一百个以上地址，在本次事件中非法获取了价值超过80000美元的加密货币，我们发现：

• 0x5701本身就已经被Hopprotocol标记为「女巫攻击者」；

• 0x5701高频率使用Disperse[.]app向其他地址输送代币，包括本次Nomad事件，该地址在发起首次攻击并获利后，将赃物兑换为eth平均分发给了其他102个地址，并由这批地址继续发起攻击，其中33个子地址成功实现非法获利；

• 这批地址具备高度雷同的地址画像，包括交互习惯、地址年龄、协议偏好、地址余额等。

上述三个维度的特征已经足够说明该组地址背后是一位典型的「羊毛党」，即使没有参与针对Nomad的攻击，本身就已经具备相当高的威胁性。

这个案例也表明，DeFi协议如果根据威胁情报，**建立用户风控和评级机制，将能有效减少潜在的链上攻击，**个人用户也能通过风险自测，避免因黑灰资金不慎关联而无辜陷入案件。

subscribe://

Twitter:

https://twitter.com/Bitrace_team

Website:

https://bitrace.cn/

尽管跨链桥协议Nomad的受损规模*（1.9亿美元）相对并不突出，但这起安全事故，因其攻击者规模之众、情节之曲折，已被广泛视为「加密史上最混乱的黑客攻击事件」。*

北京时间8月2日凌晨，跨链桥Nomad遭受攻击，价值约1.9亿美元的加密货币被大量攻击者非法获取。

原因在于其副本合约存在致命缺陷，在一次常规升级中开发者错误将零哈希标记为有效根，使得在 Nomad 上任何人都可以复制已存在的交易并更改地址再次提交。超过一千名攻击者利用这一点，在数个小时内，官方无法做出任何反制行动之时，将Nomad跨链桥上资产耗尽。

Nomad官方在较晚的时间发布了公告，声称给指定地址归还90%以上非法所得的地址将被视为「白帽」，不会追究其法律责任。但根据币追Bitrace团队统计，截至目前，仅有不到价值四千万美金的被盗资产被归还。

Nomad官方公告同样指出，这批攻击者中的88%都属于**「追随者」**，也即即兴地、未加任何掩饰便跟风参与作恶的地址。而根据币追Bitrace团队的挖掘，我们发现这些地址也具备诸多共同点：

• 以太坊域名。在所有攻击者地址清单中，我们找到了至少251个*.ETH* NFT，其中有许多关键词能够直接在推特等Web2平台上直接搜索到对应用户；

• 中心化机构交互。大部分地址都直接或间接与各类中心化交易所有资金关联；

• 地址历史。诸多追随者的地址及其关联地址普遍具备较高的地址年龄，在链上保持着漫长而丰富的交互记录，且具备相当数量的各类代币，以及以太坊同构链使用痕迹。

以上特点都表明参与本次事件的多数攻击者并非经过精心策划，称这次攻击事件为「实名打劫」，丝毫不为过。

简而言之，尽管加密货币地址具备高度的匿名性，但借助**DID地址画像分析技术与OSINT开源网络情报搜集工作，Bitrace安全团队依然能够从资金追溯的角度建立起多维度的地址身份画像，**进而为每个区块链地址的威胁程度做出判断。

其现实意义在于，协助各类场景建立安全防御中对地址风险的评估体系，也即：

• 为Defi项目提供建立用户风控和评级机制的数据源；

• 为区块链市场金融提供投资者分析；

• 为DApp提供威胁情报以防范链上攻击；

• 为区块链钱包的用户提供风险识别能力；

• 对于普通用户或者白帽分析人员, 也可以借助情报分析工具进行风险自查或追踪。

这里仍然以Nomad事件为例，币追Bitrace团队在针对攻击者进行DID地址画像分析过程中，挖掘出了一例典型：0x5701。该地址及其关联的其他一百个以上地址，在本次事件中非法获取了价值超过80000美元的加密货币，我们发现：

• 0x5701本身就已经被Hopprotocol标记为「女巫攻击者」；

• 0x5701高频率使用Disperse[.]app向其他地址输送代币，包括本次Nomad事件，该地址在发起首次攻击并获利后，将赃物兑换为eth平均分发给了其他102个地址，并由这批地址继续发起攻击，其中33个子地址成功实现非法获利；

• 这批地址具备高度雷同的地址画像，包括交互习惯、地址年龄、协议偏好、地址余额等。

上述三个维度的特征已经足够说明该组地址背后是一位典型的「羊毛党」，即使没有参与针对Nomad的攻击，本身就已经具备相当高的威胁性。

这个案例也表明，DeFi协议如果根据威胁情报，**建立用户风控和评级机制，将能有效减少潜在的链上攻击，**个人用户也能通过风险自测，避免因黑灰资金不慎关联而无辜陷入案件。

subscribe://

Twitter:

https://twitter.com/Bitrace_team

Website:

https://bitrace.cn/