今日关键词：Nomad 被盗超 1.9 亿美元、跨链桥为什么那么多事故、即将的以太坊 PoW 分叉与 ETC 分叉有何不同、从 Magic Eden 看 NFT 市场去中心化之争。

👉 更多加密领域实时信息流可至 chainfeeds.xyz 浏览。

💸 跨链协议 Nomad 遭到黑客攻击，价值超 1.5 亿美元加密货币被盗

Samczsun: 这是我见过最混乱的黑客攻击，你不需要了解 Solidity、Merkle Trees 等类似的东西，所要做的就是找到一个有效的交易，用你的地址替换对方的地址，然后重新广播。【原文为英文】（ 来源 ）

Evmos: 几个小时前，Nomad 的 ERC20 桥接合约被利用，大多数资产已被耗尽。这次事件严格来说是由于一个桥接漏洞：该漏洞允许接受任意根哈希（Root Hashes），从而允许多个实体提取大量资产。目前 Nomad 已暂停，用户无法将他们的 ERC20 包装资产从 Evmos 转移至以太坊，我们正与 Nomad 团队密切合作。【原文为英文】（ 来源 ）

0xTodd: Nomad居然在还没有特别火之前积累了1亿+TVL，然后已经被盗了。Nomad 跨链桥升级合约时有个低级错误，导致普通人也可参与 hack，找到过往成功的交易，然后改下地址重新广播。不过金额是改不掉的，所以黑客也要一笔一笔偷，这给其他人可乘之机，都去哄抢 Nomad 剩余资产，有些甚至挂着 ENS 在抢，比如🍉🍉🍉.eth 这个人抢了 300 多万美金的币，希望都是白帽吧，否则 LP 太惨。（ 来源 ）

Mindao（dForce 创始人）: Normad 前阵子 BD（商务拓展） 很激进，到处争取节点投票支持他们做各链官方桥，它们也在和 Gravity bridge 在抢 Cosmos 生态 ERC20 的 IBC 默认跨链桥。这么新的桥，很多链真敢把它当准官方桥推。搞跨链的团队，必须得有几个 DeFi 老狗，不然真会被黑的天昏地暗，现在看基本都是合约端很基础的问题。搞链安全的总觉得合约安全是小儿科，小儿科往往最要命，因为够开放，一个发烧就可以要你命。从攻击面上看，链本身的安全是收敛到一个比较窄的攻击面的，审计对这类问题比较拿手。但合约，因为可组合性和穿透性，攻击面是敞开的，边缘情况基本上无法穷尽，即使形式化验证，也只能验证有限路径。（ 来源 ）

PeckShield: 派盾监测显示，Nomad 被攻击事件中，约 41 个地址共获利约 1.52 亿美元（占 80%），包括约 7 个 MEV 机器人（约 710 万美元）、 Rari Capital 黑客 （约 340 万美元）和 6 个白帽黑客（约 820 万美元），约 10% 的 ENS 域名地址获利 610 万美元。【原文为英文】（ 来源 ）

📝【英文长推】复盘跨链协议 Nomad 被攻击过程及原理

Zellic: 简而言之，一个简单的逻辑错误（忘记处理一个案例），再加上一个便利的初始化存储器，为一个关键的漏洞创造了一条可利用的途径。【原文为英文】 （ 来源 ）

Zellic: 2022 年 4 月 12 日到 2022 年 6 月 6 日，Nomad 的合约由 Quantstamp 审计。此次有问题的提交在 2022 年 5 月 26 日被合并进来。目前还不清楚这些修改是否被审计过。对于关键任务和高安全性的代码，简单的单元测试是不够的。必须在主网分叉链上进行集成测试。同时，负面测试也是必要的。一个简单的处理无效信息的负面测试很可能就会发现这个错误！【原文为英文】 （ 来源 ）

🔐 跨链桥为什么这么多事故？

Oar：之前的研报实际上已经向大家阐述过几种不同类型的信息跨链方案，不论最终的呈现是什么样的，从产品设计的角度来说，只有侧链（广义上的侧链，在文中讲rollup也归纳为侧链，别杠），哈希时间锁定，公证人这三种机制。（来源）

Oar：公证人机制的跨链桥方案至少从目前来看是体验最好，适用范围最广且成本最低的方案。并且任何产品都会经历从伤痕累累到成熟的过程，区块链产品所遭受的攻击往往都是“逻辑问题”。这些问题随着时间的推移和经验的增加一定会越来越好。（来源）

🌠【长推】对比 2016 年 ETC 分叉，本次 ETH PoW 分叉有哪些不同？

Mindao（dForce 创始人）: 这次 ETHPoW 分叉如同 ETC 分叉，决定性的是交易所（上次是 Poloniex），矿工说自己主导分叉都是给自己脸上贴金，掌握分叉币定价权的不是算力，而是交易所。只要有二三线交易所上币，市场价格会倒逼一线交易所支持，进一步倒逼其它协议（Lido 等）、平台支持分叉币，最终会形成价格共识，交易量起来进一步螺旋加快其他交易所支持，现在各路玩家已把市场氛围烘托的差不多了。 （ 来源 ）

Mindao（dForce 创始人）: 这次分叉币我认为可能会变得平淡无奇，因为 ETC 天花板在那（2.5% ETH 市值，PoW 链估计会在 0.5-2% ETH 这个区间），空间受限，且资产方、项目方早就投票了。资产协议（USDC USDT WBTC）会跟 PoS 走，DeFi、CeFi 自然也会跟着 PoS 走，PoW 链充其量当个 EVM 兼容的链。当然，这场戏还是可以薅羊毛的。 （ 来源 ）

🌅 由 Magic Eden 托管风波引发的 NFT 市场去中心化之争

Andrew Hayward: Magic Eden 托管所有上线的资产，而不是允许它们留在用户自己的钱包中。这种做法在 Solana NFT 市场早期很常见，但后进入 Solana 生态系统的公司，如 OpenSea  和 Hyperspace，则并没有采取这种方法。托管模式增加了 NFT 交易者的潜在风险。闭源软件不能被社区审计，或从漏洞奖励计划中受益。 （ 来源 ）

Andrew Hayward: Magic Eden 最近的更新限制了第三方聚合器和工具的访问，Solana 的一些建设者认为 Magic Eden 的举动是有意为之，目的是将近几个月来获得关注的 NFT 聚合器排除在外。这将使得 Magic Eden 能够控制谁可以进入其上线列表并从流动性中受益。 （ 来源 ）