跨链协议Nomad上周二(8/2)遭到黑客入侵,来自四面八方的黑客借由系统安全漏洞盗走了近1.9亿美元的加密货币,随后Nomad即向黑客呼吁,只要还款9成就把他们当作白帽黑客,所留下的10%将作为奖赏,且不会对他们采取法律行动。
根据Nomad的分析,该系统有个实现漏洞,造成副本合约(Replica Contract)无法妥善地认证消息,进而可用来伪造任何尚未处理的消息,使得只要是依赖Replica作为认证所进入消息的合约,都会遭受安全故障,而让欺诈消息发送到Nomad的BridgeRouter合约。
Nomad表示,该漏洞现身于6月21日,当时该平台升级了智能合约,虽然在升级前曾经进行程序代码的审核,也曾发布公开的漏洞挖掘项目,却没有人发现或提报该漏洞。
现在Nomad已回滚了Nomad Bridge与Nomad Governance合约的Replica功能,也关闭NomadBridge用户接口,除了努力修复系统之外,也强力呼吁通过该漏洞转走数字资产的用户可以归还到Nomad所指定的钱包0x94a84433101a10aeda762968f6995c574d1bf154。
Nomad指出,除了黑客盗转该平台的资产之外,也有一些安全研究人员是为了保全它们不被黑客转光,也出手转走了部分资产,并暂时保管。不管这是不是动之以情的说法,截至8月7日,Nomad从39个钱包地址收到了价值3,580万美元的数字资产。
此外,为了鼓励黑客们归还款项,Nomad也宣布会把任何归还至少9成资产的黑客当作白帽黑客,允许他们保留10%作为奖励,而且不给追究,并强调Nomad正与加密货币社群、执法机关及区块链分析企业合作,以确保所有的款项都会被归还。