据知名区块链媒体blocktempo报道，周二（8月2日），推特上一位币圈分析师 foobar 表示，跨链桥Nomad 正遭受骇客攻击，数百万的 WETH 和 WBTC 正批量转出，表示合约中仍有 1.26 亿美元可能存在风险，提醒用户尽快撤回所有资金。

TVL 近乎归零，有用户怀疑是监守自盗

Nomad 遭攻击后的资金流出非常快速，据 Defillama 链上数据， 该项目的总锁仓价值（TVL）已从攻击发生前一日的 1.9 亿美元，大幅骤降至当前仅剩 4,500 美元，近乎归零。

由于造成 Nomad 这次攻击的安全漏洞非常离谱，就有用户批评“合约可随意升级，去中心化的项目都是虚有其表”、甚至怀疑是项目方监守自盗。

nomad 这事，项目方监守自盗的可能性太高了。宣布融资消息，跟银河合作搞活动，然后升级合约留个低级错误，卷钱走人。

据悉，Nomad 才刚在上周 28 日宣布获得：Coinbase Ventures、OpenSea…等多家知名风投的种子轮融资，使其获得了 2.25 亿美元的估值，不料短短不到一周就遭到毁灭性打击。

慢雾：9500 万美元被盗资金留在 3 个地址

目前据慢雾科技监测数据显示 Nomad 攻击事件中，有超过 9500 万美元的被盗资金转移进以下 3 个地址：

地址 1 (0×56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3），有约 4700 万美元的加密资产

地址 2 (0xBF293D5138a2a1BA407B43672643434C43827179），有约 3970 万美元的加密资产

地址 3 (0xB5C55+76+90Cc528B2609109Ca14d8d84593590E），有约 800 万美元的加密资产

唯一感到庆幸的是，有一些知道如何调用攻击的白帽骇客在获取 Nomad 桥的资金后，公开表态愿意归还资金，初步估计就有数百万美元。

为什么“受伤的”总是跨链桥项目 数百名用户以同样方式攻击

近期频发的跨链安全问题吸引市场的广泛关注，据律动 Blockbeats 分析，主要有几大原因，

1、充币。

（1）、充币合约权限漏洞，导致充进去的钱直接被转走。

（2）、假币充值问题

2、跨链消息转移。

3、多重签名验证问题，问题多发的重灾区，大多数都是代码逻辑问题。

且令人震惊的是，foobar 在后续贴文指出，这次 Nomad 的攻击不是闪电贷、也不是黑客团体为之。在最初的攻击者袭击后，数百个不同的帐户发现了骇客的攻击手段，并复制了一样的调用数据来获取 Nomad 中的资金！

此漏洞一个令人困惑的地方是，所有用户要破解桥的漏洞，只需复制原始骇客的交易调用数据并将原始地址替换为个人地址，然后贴上就会成功…