> **导语**:2022年8月1日,一个平平无奇的凌晨,Nomad跨链桥上悄然发生了一件足以载入加密货币史册的事件——将近1.9亿美元,在几个小时之内,被超过300个地址以”复制粘贴”的方式瓜分殆尽。这不是某个天才黑客精心策划的杰作,而是一场真正意义上的”去中心化零元购”。而点燃这根导火索的,是一笔被人嘲笑”手续费都比利润高”的0.01枚币的试验交易。
—
## 一、那一夜,没有人抢银行,但所有人都在抢钱
故事要从2022年6月的一次合约升级说起。
Nomad团队当时做了一次常规升级,引入了Replica合约。按理说,每次升级都应该经过严格的安全审计——这就好比银行金库换锁,必须确保钥匙和锁芯严丝合缝。但这一次,他们跳过了审计环节。锁换好了,但钥匙孔装错了。更准确地说,有人把trustedRoot初始化成了`0x00`。
`0x00`是什么概念?在智能合约的世界里,这相当于一把万能钥匙——任何消息都能被验证通过。你甚至不需要伪造任何凭证,直接发一条消息过去,合约就会乖乖放行。
漏洞就这样埋下了。
时间来到2022年8月1日。不知道是测试还是手滑,第一个攻击者浮出水面。他做了一笔看似愚蠢的操作:转入0.01枚ETH,然后提走了100枚。
这个”示范”被链上记录忠实地保留了。紧接着,不到几个小时,所有人——不对,是300多个地址——都看到了这条交易记录。
你看到邻居从银行里搬走了金条,你会怎么做?
报警?不,大多数人的第一反应是:我也要去搬。
就这样,一场加密史上史无前例的”集体狂欢”上演了。有人复制了交易数据,改了接收地址;有人连代码都不用写,直接把别人的交易数据粘贴发送;有人甚至都不知道自己在干什么,只看到群里有人说”Nomad可以薅”,于是跟着就薅了。
到当天结束,Nomad桥上近1.9亿美元的资产被抽干。几乎没有人是被”入侵”的,大家都只是在”使用一个功能”。
—
## 二、技术层面:一个价值1.9亿美元的”低级错误”
让我们回到技术视角,来看看这个`0x00`到底是怎么让整个系统彻底洞开的。
在Nomad的跨链消息验证机制中,Replica合约负责验证从其他链传来的消息是否”可信”。正常逻辑是:每个消息都附带一个Merkle proof,合约通过Merkle root来验证这条消息的真实性和发送者身份。
问题出在初始化函数上。开发者在升级时将trustedRoot设置为`0x00`,而合约代码中存在一条逻辑:如果trustedRoot等于`0x00`,则跳过验证,直接信任所有消息。
这就好比你开了一家需要对访客身份证登记的门禁公司,结果在一次系统升级后,忘记删掉”如果门卡是空白卡,则自动放行所有人员”这条调试代码。
攻击流程简单到可笑:
第一步,找到一笔正常的跨链交易记录,复制其数据。
第二步,把接收地址改成自己的钱包地址。
第三步,把伪造的消息直接发给桥合约。
第四步,合约看到`0x00`,直接放行。资金就这样流出了。
整个过程不需要任何密码学攻击,不需要零日漏洞,甚至不需要懂代码——你只需要会”复制粘贴”,就够了。
—
## 三、三年追凶路:从加密狂欢到机场落网
事件发生后,Nomad团队紧急呼吁黑客退款。部分白帽黑客响应了号召,归还了约3260万美元。但绝大多数参与者——那些在群里问”还能薅吗”的散户——早就消失在链上的迷雾中。
区块链的匿名性,一度让很多人以为自己在链上做的事可以”不留痕迹”。但别忘了,链上数据是公开的、可追溯的。每一条交易都像是一张过期的火车票,上面写着你的地址、金额和时间。
2023年8月,美国司法部正式对Nomad桥攻击案涉案人员提起诉讼,指控包括电汇欺诈、洗钱和非法运输被盗财产在内的八项罪名。
2025年,陆续有嫌疑人落网。2月,一个名叫Osei Morrell的嫌疑人被抓;到了5月,剧情迎来了真正的高潮——Alexander Gurevich,在特拉维夫本·古里安机场被捕。
Gurevich是谁?他是一名拥有俄罗斯和以色列双重国籍的程序员,住在以色列城市Bat-Yam。检方指控,他就是那个”第一个吃螃蟹的人”——也就是那笔”0.01 ETH换100 ETH”示范交易的发起人。
讽刺的是,他在被捕时持有的护照不止一本,而是三本——俄罗斯、以色列和葡萄牙。
更戏剧性的是,据报道他当时正准备登上飞往俄罗斯的航班。幸运的是,在登机口,他被拦了下来。
—
## 四、这事儿给整个行业留下了什么?
回过头来看这场持续三年的”大戏”,有几个教训值得反复咀嚼。
**第一,代码审计不是走形式。** Nomad的那次合约升级没有经过审计,而这个被跳过的环节,最终代价是1.9亿美元。在Web3的世界里,”代码即法律”意味着代码的错误会被无限放大。审计不是成本,是保险。
**第二,”去中心化抢劫”是一个真实的威胁。** 以往的安全事件,大多是专业黑客团队精心策划的。但Nomad事件表明,一旦漏洞足够简单、足够致命,普通人也会参与进来,而且是以量取胜。这对整个行业的安全响应机制提出了新的命题:当几小时内就有几百人发起攻击时,项目方的应急窗口几乎为零。
**第三,加密货币不是法外之地。** 匿名性神话在这里被打破。链上数据的透明性使得执法机构可以追踪每一笔资金的流向。三年后,当初那些以为”薅到了就是赚到了”的散户,有多少人会因为这条推文而辗转难眠?
**第四,监管正在收紧。** 2025年12月,美国联邦贸易委员会(FTC)正式对Nomad母公司Illusory Systems发出执行令,要求其赔偿用户损失。这意味着,在DeFi的世界里,”跑路”不再是一个可行的选项。
—
## 五、尾声:门没锁,钥匙插在门上,然后呢?
有人把Nomad事件称为”Web3版零元购”。但这个比喻其实不够准确。真正的零元购好歹还需要胆量和体力,而Nomad上的这场抢劫,只需要你会复制粘贴。
这事儿吧,得从两边儿看——
红队会说:看到没?一次疏漏可以让整个系统崩塌,一个0x00值烧掉了1.9亿美元。
蓝队会说:看到没?区块链的透明度让追踪成为可能,三年后人赃俱获,正义没有缺席。
而紫队想说:这两边的故事加在一起,才是这整件事的全貌。攻防从来不是孤立的——攻击者打开了潘多拉的盒子,而整个社区跟着一起掀起了盒子里的风暴。
对于在场的每一个人,或许都应该记住一句话:**在加密世界里,你以为是”薅羊毛”,其实是给自己埋了一颗定时炸弹。**
**版权声明**:本文由华盟网原创发布,保留所有权利。配图由华盟网授权使用。
暂无评论内容