1.9 亿美元被“掏空”！黑客牵头，路人“趁火打劫”，一切仅因一个低级致命漏洞( 二 ) 整理|郑丽媛出品|CSDN（ID：CS

这也就意味着，攻击者可以直接构造任意消息，而这些消息都可以正常执行。这一漏洞的性质决定了本次黑客事件的规模，正如Samczsun所说：“这就是此次事件如此混乱的原因——你甚至不需要知道Solidity或默克尔树（MerkleTrees）这类技术知识，只需找到一个有效交易，用你的地址替换原本的地址，然后再推广出去。 ”
主动返还不当获利，可获得20%的赏金？辟谣！
综上，总体而言本次攻击是由于Nomad桥Replica合约在初始化时将可信根设置为0x0 ，但在进行可信根修改时并未令旧根失效，导致攻击者可以构造任意消息对Nomad桥进行资金窃取——更重要的是，由于不需要什么专业技术，攻击者中不仅有黑客，也有好奇尝试的许多“路人”用户。
文章开头提到Terra研究员FatMan对这场攻击的评价也正因如此：“在公共Discord服务器上弹出的一条消息称，任意一个人都能从Nomad桥上抢3千到2万美元：所有人要做的就是复制第一个黑客的交易并更改地址，然后点击通过Etherscan发送即可。 ”
针对这一事件， Nomad团队事后表示目前调查正在进行中，已联系区块链情报和取证的专业公司协助，也已通知执法部门尽快处理这一情况，及时提供最新信息。
与此同时，有未知来源的消息称Nomad在链上呼吁攻击者返还资金：“如果你愿意将不当获利返至nomadexploit.eth则不会对你采取进一步行动，且可获得20%的赏金，按照白帽处理。 ”
但很快Nomad在官方推特辟谣称：“我们尚未提供任何返还被盗跨链资金的说明。请忽略除Nomad官方渠道以外的所有渠道的消息。 ”并于周三给出了明确资金返还地址：“请将资金发送至以下以太坊钱包地址：0x94A84433101A10aEda762968f6995c”
因本次事件可能牵扯到一部分仅因好奇而意外攻击了Nomad的用户，部分人主动返还了不当获利。据区块律动BlockBeats报道，本周三派盾在其社交平台表示，已检测到约900万美元Nomad被盗资金已被归还至Nomad提供的资金回收地址。
参考链接：
https://www.nftculture.com/nft-news/nomad-got-drained-for-over-150m-in-one-of-the-most-chaotic-hacks-seen/
https://defillama.com/protocol/nomad
【1.9 亿美元被“掏空”！黑客牵头，路人“趁火打劫”，一切仅因一个低级致命漏洞】—活动推荐—
不止七夕，让《新程序员》陪伴你每个朝夕！凡在七夕当日订阅《新程序员》的朋友都将获得CSDN赠送的定制马克杯一个！扫描下方二维码立即订阅