北京时间2022年8月2日，CertiK安全团队监测到Nomad Bridge遭受攻击，导致了价值约1.9亿美元的损失。

合约的问题在于在initialize() 函数被调用的时候，“committedRoot” 被设成了0x00地址。因此，攻击者可以通过消息的验证，将在桥合约中的代币转移。锁仓总价值由1.9亿美元骤降为1.2万美元——这实质上使得攻击者可以在A链上存入1ETH而在B链上收到100ETH。

这个漏洞的神奇之处在于，看起来好像没有任何一个直接攻击者。但至少有41个钱包参与了此次攻击，我们可以认为它是Web3.0世界第一个「群体作案」。也许正是因为这个原因，攻击者可以轻易地从桥上提取资金。

第一笔可疑交易发生在8月2日凌晨5:32，100wBTC（价值约220万美元）被转移到0x56d8......我们可以观察到代币从这里开始持续疯狂转移。

这样的漏洞也在吸引着如Rari Capital攻击者这样的以往Web3.0黑客。

另外有个有意思的地方是，还有个恶意者试图对这起事件的黑客进行网络钓鱼攻击，ta持有ENS nomadexploiter.eth的EOA向持黑客EOA发送了链上信息，在8月2日注册冒充Nomad与黑客进行谈判：

Nomad在推特上发布声明称这不是他们干的

写在最后

这些攻击事件的漏洞在持续警醒我们：跨链桥漏洞所能造成的破坏性极其巨大。

Web3.0世界目前急需更安全和更广泛的跨链应用。未来同类性质的漏洞可能会出现的越来越多、越来越频繁。

我们可以尽力而为的至少是确保项目代码经过了完备的测试和安全审计，这将大幅提高面对高破坏性黑客攻击的抵御能力。