# SAFEIS安全观察：史无前例！NOMAD跨链桥上超过1.9亿美元加密资金遭到哄抢！

By [SAFEIS](https://paragraph.com/@safeis) · 2022-08-03

---

### NOMAD被攻击

北京时间2022年8月2日，跨链解决方案Nomad遭到黑客攻击，损失资金超过1.9亿美元。

和历次黑客攻击事件不同的是，本次攻击事件中有大量普通用户参与其中，在黑客发现Nomad漏洞并成功攻击之后，利用漏洞“抢劫”Nomad桥资金的方法就在加密社区极速扩散，很多加密用户蜂拥而至，有些用户甚至都来不及使用马甲进行伪装，就直接使用常用的ENS域名，这难免会暴露自己的真实信息。

本次黑客攻击事件可谓是加密史上第一次去中心化、普通用户广泛参与的安全事件。

### 一、跨链桥协议Nomad

Nomad是一种采用optimistic机制的互操作性协议，可实现安全的跨链通信。在其官网中介绍到，Nomad的目标是构建一个联结组织，使用户和开发人员能够在多链世界中安全地交互，并且重点讲述了三个核心优势——安全的、省费用和可扩展的。

![](https://storage.googleapis.com/papyrus_images/cb99eed433b854c384346a4457927e75941f8b0ad56742cd7795233b349c8bc1.png)

在今年第二季度，Nomad迎来了发展的良机，获得了一笔Polychain领投的2200万美元的种子轮融资。

### 二、攻击事件详情

本次攻击事件的发生要从一个合约漏洞讲起，Nomad官方对智能合约进行了常规升级，但升级后的智能合约副本存在致命缺陷，主要就是将零哈希标记为有效根，令人惊讶的是，这个设置具有自动验证每条消息的功能，这便让黑客可以轻而易举的盗取桥上的巨额资产。

而普通用户只需要找到一个有效交易，用钱包地址替换掉已有地址并重新广播，此外也有的用户从Moonbeam网络通过Nomad跨链0.01个BTC到以太坊网络，却收到了100个BTC。很多用户闻风而动参与其中，俨然成为一场加密市场集体“抢劫”行动！

Nomad 代币桥总锁仓量（TVL）原本应有1.9亿美元，但在foobar发布推文时（北京时间8月2日6点35分），跨链桥中依然有 1.3 亿美元资产。然而官方却没有采取任何应急措施，来制止更多的资金流失。

![](https://storage.googleapis.com/papyrus_images/fc740cb4a472ad1446822d2a46e0c60f9441bdbab462669863e8c8e2ada69fdb.png)

大约一个小时后，北京时间8月2日7点25分，Nomad官方发布关于该事件的推文，只是强调说：“我们知道涉及 Nomad 代币桥的事件。我们目前正在调查，并会在我们有更新时提供更新。”此时，跨链桥中仍然有约7500万美元的资金，但Nomad官方仍然未采取任何应急措施，来制止这一事件朝着更为严重的方向发展。

![](https://storage.googleapis.com/papyrus_images/bc234e2b14ab6621c9edcf327b25127574f000ffd12b07a340171cde18a63144.png)

尔后，当跨链桥资金只剩下约4502美金的时候，Nomad官方才有所行动，然而，此时已经损失了超过1.9亿美元的资金。

### 三、为什么跨链桥项目频繁被攻击？

跨链桥攻击事件频繁发生，从2021年下半年至今超过10起，而且此类攻击事件往往损失巨大，就在不久前的6月24日，跨链桥Horizon发生黑客攻击事件，损失高达 1 亿美元。为什么跨链桥项目频繁被攻击？

**1、有利可图**

随着整个加密市场的蓬勃发展以及多链格局的形成，整个加密市场对跨链桥的需求旺盛且使用频繁，因此跨链桥中往往存在大量的加密资产，必然会成为黑客攻击的重点目标。

**2、流程复杂**

跨链桥的整个业务流程比较复杂，会涉及到多条链、多个合约之间的交互，这便给跨链桥的整体安全提出了极高的要求，某一个部分的安全并不能解决全链路整体安全，一旦某一部分出现安全问题仍将严重威胁跨链桥风险。

**3、不可能三角**

区块链技术存在“不可能三角”的问题，即不能同时兼顾“去中心化”、“安全性”、“交易处理性能”这三个特性。有些跨链协议为了追求“交易处理性能”和“去中心化”，就会不可避免的损失“安全性”，这便降低了黑客攻击的难度。

### 四、安全措施

**1、分散跨链桥池**

跨链桥项目可以建立多个总跨链桥池，用户资金可以分散其中，这样可以有效增加黑客攻击成本，也能最大限度增加跨链桥的安全性。

**2、扩大签名比例**

将所需签名者的比例进行适度增加，同时将多签分配到不同的钱包中，可以有效消除相关的安全风险。

**3、严格合约审计**

最近发生的多起跨链桥被黑事件中，很多都是因为合约漏洞所致，项目在进行合约发布和审计时需要严格审计，防止此类事件再次发生。此外，可以通过漏洞赏金的方式来高效提高安全性。

**SAFEIS，让区块链更安全！SAFEIS将持续关注该事件发展，可通过添加下方客服二维码加社群，可获得区块链安全方面问题的协助并学习交流安全知识。**

---

*Originally published on [SAFEIS](https://paragraph.com/@safeis/safeis-nomad-1-9)*