铁索桥对面近2亿美元TVL的游牧民族几乎全部被盗，埃夫莫斯货币价格短时间内暴涨1.5倍以上。

由iambabywhale.eth撰写

北京时间今天(8月2日)上午，跨链互操作协议Nomad Bridge被黑。在攻击期间，韦特和WBTC以每次数百万美元的速度不断被转移出去。根据DefiLlama的数据，Nomad上近2亿美元的TVL在短时间内被攻击者“掏空”，截至发稿时仅剩不到4000美元。

a16z加密应用安全团队成员Matt Gleason和Paradigm研究合伙人兼安全总监Samczsun在第一时间解释了此次攻击利用的漏洞。以下分析摘自两种观点：

Nomad这次被攻击是因为跨链桥的配置可以通过特定路径发送任何事务。该错误存在于副本内部的“处理”功能中。出错的“处理”函数是为了确保信息得到证明，然后对信息进行处理。通常这个过程是没有问题的。

这个过程使用“acceptableroot”来检查在当前时间之前根是否已经被证明或确认。问题存在于固体语言中。如果没有找到映射的映射键，将返回默认值0，“acceptableRoot”的参数“_root”将为0。

但由于契约初始状态下“_confirmedRoot”为0，所以0为确认值(注：confirm at[0]=1；)“acceptableRoot”可以通过接收值0来通过验证。

结果就是黑客正好利用这个漏洞找到一个有效的交易，反复发送结构化的交易数据来跨链桥提取锁定的资金，导致Nomad上几乎所有的锁定资金都被盗。

受Nomad跨链桥遇袭影响，月光令牌GLMR短时间下跌近10%，而EVMOS令牌Evmos上涨超过150%。之所以会出现这种情况，要么是因为Moonbeam暂时关闭了EVM功能，而Nomad是Evmos和以太坊生态之间的主要跨链桥梁，被盗资金需要通过EVMOS支付出去。

Evmos官方表示，正在与Nomad团队密切合作，并将在获得更多信息后更新进展。目前，Evmos链运行正常。由于Nomad已被暂停，用户无法从Evmos提取其ERC20打包资产到以太坊。团队会及时通知Evmos用户和拥有Nomad打包资产的用户。