NomadBridge事件損失約190M美元,約37M美元已從白帽黑客手中回收,仍有超過100M美元的損失掌握在獲利最大的兩位黑客手中。
原文標題:《NomadBridge被盜,逾十億資產如今在哪?》
撰文:郭景怡,陳森茂
2022年8月2日,NomadBridge受到攻擊。與以往安全事件不同的是,此次參與攻擊的黑客多達上百位。其原因是攻擊手法簡單且被部分攻擊者傳播開來,任何用戶通過復制-粘貼成功攻擊交易的payload、再將其中的地址信息修改為自己的任意地址,便能成功從NomadBridge提走資金。由于Nomad項目方沒有緊急停止機制,橋中資金幾乎被全部套出,損失約190M美元。
自8月3日官方發布回收程序至今已有12日,NomadBridge回收資產累計37M美元,多數資產仍然流落在外。這些尚未歸還的資產目前停留在哪?由哪些黑客控制?我們通過這篇文章來簡單了解一下。
Rari Capital攻擊者在Nomad事件中獲利500萬美元,并將資金轉入TornadoCash:8月4日消息,派盾監測數據顯示,Rari Capital(Arbitrum)被盜事件黑客相關地址0x72ccbb和0x76f455在Nomad跨鏈橋攻擊事件中獲利500萬美元,并將資金轉移到0x72ccbb,然后通過TornadoCash進行混幣。
據此前報道,派盾發推稱,Nomad跨鏈橋攻擊者之一是Rari Capital被盜事件的黑客,在此次Nomad攻擊中獲利約300萬美元。[2022/8/4 3:23:25]
01事件概覽
2022年8月2日,NomadBridge遭到攻擊。攻擊原理和實施細節可見?
區塊鏈開發工具提供商Biconomy將于月底發行Token,1%用于空投:11月9日,區塊鏈開發工具提供商Biconomy宣布將于11月底發布其原生TokenBICO,總發行量的1%(2000萬枚)將用于空投,其中500萬枚獎勵給參與“早期使用者計劃”的用戶,500萬枚用于向其跨鏈橋Hyphen早期用戶發放追溯空投,目前Biconomy團隊已于UTC時間11月1日16:00進行快照。根據此前發布的Token經濟模型,BICO總發行量為10億枚,24.88%用于私募融資和戰略融資,22%由團隊和咨詢專家持有,10%歸基金會,5%在Coinlist等平臺公開發售,剩余38.12%分配給社區。
Biconomy是使Web3.0無摩擦和主流的多鏈交易基礎設施,通過無gas交易、即時跨鏈轉賬和靈活的gas支付選項等功能幫助用戶消除區塊鏈難題,使Web3.0更具可用性、可互操作性和可組合性。[2021/11/9 6:41:32]
Attack?Analysis?|?How?Unchecked?Mapping?Makes?$200M?Losses?of?Nomad?Bridge
職業拳擊手Gennadiy Golovkin (GGG) 通過The Soul of Nomad發布首個時尚NFT:11月1日消息,職業拳擊手Gennadiy Golovkin (GGG) 通過高端時裝品牌The Soul of Nomad發布首個時尚NFT,由Polygon Network上的NFT商業公司Real Items提供支持。該NFT系列稱為Soul of GGG,該系列的第一款將是限量版GGG連帽衫,其中嵌入了獨特的NFT,使每件作品都成為真正獨特的收藏品。NFT二維碼永久附著在連帽衫上,客戶收到連帽衫后,即可使用Polygon Network上的Real Item平臺掃描、認領和驗證NFT二維碼。(PR Newswire)[2021/11/1 6:25:39]
2022年8月3日,NomadBridge官方發表資產回收程序:此次事件中從NomadBridge
Robonomics發布v0.26.0版本,引入完整機器人即服務商業模式:基于以太坊和波卡的無服務器物聯網平臺Robonomics發布“Parachain Lighthouse”。新發布的Robonomics v0.26.0版本引入了一個完整的機器人即服務商業模式,現在支持Raspberry Pi這樣的ARM平臺。Earth平行鏈的Collator需要升級節點。官方還表示,該版本中引入了一個新的區塊生產者追蹤pallet。[2021/3/23 19:11:05]
取走資產的白帽黑客/研究員可以將資產轉入地址0x94A844來實現回收。
2022年8月5日,NomadBridge官方補充聲明:參與此次事件的攻擊者只需返還取走資產的90%則可被視為白帽黑客,NomadBridge不會進一步追究其法律責任。
02資產追蹤
從2022-08-019:32PM到2022-08-0212:05AM(UTC時間),共有322個地址通過962筆交易調用了漏洞合約的process函數累計1177次,NomadBridge被取走USDC、USDT、DAI、WETH、WBTC等14種資產,損失累計約190M美元。
與普通攻擊事件不同,此次事件中的962筆交易由322個地址發起,而這些地址大多屬于不同實體,被盜資產也分散流入到了329個獲利地址。截至2022-08-1511:00,在329個獲利地址中,65個地址返還了全部資產,50個地址返還了90%資產,7個地址返還了不到90%資產。此外,在NomadBridge發布回收程序之前已有12個地址向Nomad:ERC20Bridge返還過資金,其中11個地址返還了全部獲利。
在尚未返還資產的195個地址中,有16個地址將獲利轉移到了Tornado.Cash,4個地址不受攻擊者控制。這意味著上述20個獲利地址中的資產大概率無法回收,這部分資產累計約17M美元。此外,有86個地址中的獲利已經開始轉移。最后,仍有90個獲利地址沒有任何動靜。
03攻擊者分析
在此次事件中,看似有322個地址獨立地發起了攻擊,但實際的攻擊者卻并不是322位。攻擊交易發起地址和獲利地址累計有606個,經地址聚類后得到219個地址簇。這意味著攻擊者數量不會超過219個。
圖中?6?個獲利地址可被認為由同一實體控制
在這219個地址簇中,有2個地址簇掌控了近半數NomadBridge在此次事件中損失的資產。
關鍵的是,當我們從實體的維度再次統計償還情況時發現,這兩位攻擊者尚未償還任何資產。這就導致,雖然約半數攻擊者選擇向項目方償還全部或部分資金,但NomadBridge回收的資金卻僅有37M美元,與190M美元相去甚遠。
?
04結語
截止8月13日,NomadBridge已經從白帽黑客手中回收了約37M美元的損失。遺憾的是,仍有超過100M美元的損失掌握在獲利最大的兩位黑客手中。這兩位黑客用于發起攻擊交易的手續費均來源于TornadoCash,且獲利尚未開始轉移,這使得我們很難追蹤到他們的身份。
BlockSec將持續監控被盜資金動向,及時和社區共享新的發現。
05數據整理
攻擊交易獲利
無法挽回的損失
官方消息透露,以太坊合并的初步日期定在9月中旬。隨著合并日期的日益推進,行業對以太坊的周邊事件討論也變得更為熱烈。一方面,以太坊合并直接引發的共識轉變,Pos機制是否會引發中心化風險.
1900/1/1 0:00:00來源:以太坊基金會官方博客以太坊正在轉向權益證明(PoS)!這次過渡被稱為合并(TheMerge),必須首先在信標鏈上通過Bellatrix升級來激活.
1900/1/1 0:00:00概要 DeFi的初始價值觀是關于金融包容性和開放性。但隨著Gas價格上漲,DeFi慢慢變成了巨鯨的游戲。L1池因便宜、簡單而有效擴展DeFi.
1900/1/1 0:00:00a16z已為加密空間分配了數十億美元,但并非該基金的所有投資都取得了成功。原文標題:《a16z投資的那些失敗項目》撰文:TimothyCraig 編譯:老雅痞 JoePugliese和Artit.
1900/1/1 0:00:00以太坊合并越來越近,礦工去向何處,ETHPoW之爭……都成了備受關注的話題。其中,“以太坊合并,ETC受益”的話題也成了焦點.
1900/1/1 0:00:00在這篇文章中,你將知道為什么在Web3里做市場營銷,你需要一個全新的思維路徑,你也將學習相關的案例鞏固你的認知.
1900/1/1 0:00:00