8월 2일(베이징 시간), 청두 리아난 체인 빙 블록체인 보안 상황 인식 플랫폼에 대한 여론 모니터링에서 교차 체인 통신 프로토콜인 Nomad가 공격을 받았고 해커들이 미화 약 1억 5천만 달러의 이익을 챙긴 것으로 나타났습니다. 보도 시간 현재 DeFi Llama 데이터에 따르면 Nomad 토큰 브리지에는 약 $5,900만 남아 있습니다.

보조 제목

PART 01

암호화폐 시장에서 최초의 탈중앙화된 강도?

우선 이 이야기의 주인공인 노마드에 대해 알아보자.

Nomad는 교차 체인 메시징의 비용을 줄이고 보안을 개선하도록 설계된 안전한 상호 운용성 솔루션을 제공한다고 주장합니다 검증자 기반 교차 체인 브리지와 달리 Nomad는 교차 체인 통신을 검증하기 위해 많은 외부 당사자에 의존하지 않지만 낙관적 메커니즘을 활용하여 사용자는 안전하게 메시지를 보내고 자산을 연결할 수 있으며 보고 있는 모든 사람이 사기를 표시하고 시스템을 보호할 수 있음을 보장합니다.

4월 13일에는 Polychain이 주도하는 2억 2,500만 달러의 가치로 최대 2,200만 달러의 시드 파이낸싱을 완료했습니다. 스타트업 프로젝트의 경우 수천만 달러의 시드 파이낸싱이 출발선에서 승리한다고 할 수 있지만, 이 공격 이후 프로젝트 당사자가 어떻게 대처하고 "스스로를 구할"지는 알 수 없습니다.

노매드의 공식 트위터 계정은 사건을 인지하고 현재 조사 중이라고 밝혔다.

이번 사건과 관련해 웹3 분야에서 논란이 일었다.

Terra 연구원 FatMan은 트위터에서 Nomad 공격에 대해 다음과 같이 말했습니다. 거래하고 주소를 변경한 다음 Etherscan을 통해 보내기를 클릭하십시오. 이것은 실제 암호화폐 시장에서 발생한 최초의 탈중앙화 강도입니다.”

그리고 실제로 그렇습니다.

오데일리의 보고에 따르면 첫 번째 해커의 절도가 완료된 후 이 "성공적인" 경험은 암호화 커뮤니티에도 유포되었고 더 많은 사용자가 모방하여 화재를 이용했습니다. 교차 체인 통신 프로토콜 Nomad의 자산이 약탈당했습니다.

보조 제목

PART 02

- 프로젝트 당사자가 컨트랙트를 배포할 때 어떤 실수를 해서 공격을 받았나요?

이 공격은 주로 프로젝트 당사자가 컨트랙트를 배포할 때 0(0x000000....)의 ConfirmAt를 1로 설정하여 사용하지 않는 _message가 판단을 통과하고 컨트랙트에서 해당 자산을 추출할 수 있도록 하기 때문에 발생합니다. 기술적 분석은 다음과 같습니다.

공격받은 계약

0x5D94309E5a0090b165FA4181519701637B6DAEBA(악용 계약)

0x88A69B4E698A4B090DF6CF5Bd7B2D47325Ad30A3 (금고 계약 손실)

너무 많은 공격 트랜잭션으로 인해 다음은 설명을 위한 예로 공격 트랜잭션 중 하나의 분석을 사용합니다.

1. 트랜잭션 분석을 통해 공격자는 (0x5D9430) 컨트랙트에서 process 함수를 호출하여 (0x88A69) 컨트랙트에서 자금을 추출한 것으로 확인되었습니다.

2. 프로세스 함수를 따라가면 계약이 _messageHash를 판단한 것을 볼 수 있습니다.입력된 메시지[_messageHash]가 0x000000...일 때 반환 값은 true입니다.

3. 그런 다음 AcceptableRoot 함수를 추적하고 _root 값이 0(0x000000....)이고 ConfirmAt[_root]가 1일 때 판단이 항상 이루어지므로 공격자가 자금을 인출할 수 있음을 확인합니다. 계약에서.

보조 제목

PART 03

- 프로젝트 당사자는 도난당한 자금을 회수할 수 있습니까?

크로스체인 토큰 브리지 공격으로 인한 손실에 대해 노매드 팀은 "조사가 진행 중이며 블록체인 인텔리전스 및 포렌식 분야의 주요 기업에 지원을 요청했다. 법 집행 기관에 통보했으며 처리할 예정이다. 24시간 상황. 시의적절하고 최신 정보를 제공합니다. 우리의 목표는 관련 계정을 식별하고 자금을 추적하고 회수하는 것입니다."

현재 Chengdu Lianan의 보안 팀은 Lianbizhui 플랫폼을 사용하여 도난당한 자금 주소를 모니터링, 추적 및 분석하고 있습니다.

PART 04

-요약: 컨트랙트 전개 시 주의해야 할 사항은?

이 사건에 대응하여 Chengdu Lianan의 보안 팀은 프로젝트 당사자가 계약을 배포하기 전에 구성이 합리적인지 여부를 고려해야 한다고 제안했습니다. 배포 후에는 해당 기능을 테스트하여 악용될 위험이 있는지 확인하고 감사 회사에 문의하여 초기 매개 변수가 합리적인지 확인해야 합니다.