Bit Gravity

Posted on Aug 11, 2022Read on Mirror.xyz

跨链桥Nomad上演Web3首次去中心化抢劫,带给我们哪些警示?

文 | Aiur 2022.8.8

近日有一笑谈,跨链桥 Nomad 被攻击,被称为——加密市场中首次去中心化「抢劫」

由于此次的漏洞很低级,攻击的门槛大大降低了,攻击也不再是黑客们的专属,并不需要有什么专业技术,就连好奇围观的「路人甲」用户,也来凑个热闹,探上前来,着着实实抢了一把。

更有业内人士感叹:这是我见过最混乱的黑客攻击案例之一。

在此次攻击事件中,损失竟高达 1.9 亿美元。

那么,此次 Nomad 为什么会被攻击?漏洞在哪里?我们该如何在 Web3 中保障自己的资金安全呢?

那先给大家简单说说什么是中心化和去中心化吧!中心化

中心化:

依靠中心来决定节点,节点依赖于中心,离开中心节点将不能顺利运行。

举例:

Q币与腾讯公司的关系:

Q币是由腾讯公司发行,是其公司内比较通用的消费积分,且由腾讯进行信任背书,对腾讯的信任才认可Q币的价值进行使用它。

而且腾讯对Q币拥有完全使用权,即你账号里的Q币腾讯都有权限进行增加或扣除。

且Q币只能在腾讯的生态下进行流通。

去中心化

去中心化在区块链中体现得淋漓尽致,即人人都是中心。

举例:

比特币(Bitcoin):

它是没有一个发行主体的,而是由全网的矿工通过算力竞争,共同发行及流通。

它是没有任何一个个人或者机构来为他进行背书的。

通过私钥来确定对它的所有权和使用权,而且通过一个 POW 的一个算法机制,使得每笔交易无法被篡改且公开透明。

现在于全球范围内进行流通,不局限于某个生态下。

理解了去中心化,那什么是跨链桥呢?

·跨链桥·

跨链桥的官方释译为:

允许加密货币、智能合约指令和区块链之间的数据传输。

我们可以简单理解跨链桥为:

桥是媒介,连通着两个不同的公链,使之能够进行数据间的交互。而且使得交互更加方便快捷,燃油费(gas费)也会更加的低。

因为各个公链的底层协议、架构等不同,链与链之间不能互通,导致每条链上的数据进行交换,因此形成了链之间像是孤岛式的存在。

但是,跨链桥刚好能解决这一点,实现链与链之间的互通,也更好的发挥了区块链的优势,因此,市场对跨链桥的需求在不断增多,对其技术也在不断地变高。

Nomad 「被抢」事件

介绍一下本期的被“抢劫”的主角——Nomad。

Nomad是一个采用乐观机制验证的跨链通信协议(现在看来是不太乐观的哈哈哈)。

Nomad目前支持5条链的跨链:ETH、Evmos、Milkomeda C1和Moonbeam。

而且,Nomad 近期宣布已完成了 2200 万美元的种子轮融资,由 Polychain 领投,Coinbase、OpenSea、Gnosis 等参投。

这行情下,能拿到大额的融资是非常不简单的,万万没想到,就在8月2日,Nomad 就遭受了如此重击。

去中心化“抢劫”的发生

Nomad 被攻击的第一笔可疑交易发生在北京时间 8 月 2 日 05 时,黑客利用 Nomad 上的漏洞,从桥上取走了 100 枚 WBTC,价值约 230 万美元。

从该地址的 Moonbeam 桥接网络上转走0.01WBTC,以太坊桥接上就会相应的收到100WBTC。(确实羡慕啊....想当黑客)

据 Paradigm 安全研究员的分析称,Nomad 遭受攻击的主要原因是其副本合约存在致命缺陷,一次常规的升级将零散的列标记为有效的根,其效果是允许在 Nomad 上的欺骗信息。

在四个多小时内,多名黑客和社区成员成功复制了最初的攻击方式,将 1.9 亿美元“洗劫”一空...

此次Noamd黑客“抢劫”事件的发生,让其他跨链桥项目更加注重安全技术问题,更是起到了一个警示的作用。

资金安全

我们如何保证自己的资产安全呢?

(个人建议,仅供参考)

  1. 可短期存放头部大交易所。
  2. 可存放在冷钱包、硬件钱包(这个助记词一定要保存好)。
  3. 不乱点钱包授权链接、二维码等。

我是星辰,邀请你加入比特社区,一起聊聊Web3。

⛵️⛵️⛵️

Twitter:@biteyinli

微信公众号:比特引力

Telegarm中文群:https://t.me/+BV7574ghfAlmMTBl

Link Tree:https://linktr.ee/Bit_Gravity

Web3