最近，以色列当局应美国司法部（DOJ）的请求逮捕并批准了一名涉嫌在2022年8月1日实施1.9亿美元Nomad Bridge漏洞的个人的引渡。这次逮捕标志着全球范围内追究利用跨链基础设施进行金融犯罪行为的努力迈出了重要一步。

这名嫌疑人是拥有俄罗斯和以色列双重国籍的亚历山大·古列维奇（Alexander Gurevich），他在耶路撒冷被以色列警方逮捕，警方与美国联邦调查局（FBI）和国际刑警（Interpol）通力合作。根据公开的法庭文件和执法声明，古列维奇被指控与他人合谋实施该漏洞，并通过涉及隐私币、混合器和海外金融实体的复杂操作洗钱。

Nomad Bridge漏洞已成为去中心化金融（DeFi）历史上最引人注目的黑客攻击之一。攻击者利用了Nomad的Replica智能合约中的一个关键漏洞——一个在例行代码更新中引入的验证错误，允许带有无效证据的消息被接受为有效。具体来说，桥接的process()功能的配置错误导致合约接受任何具有正确根哈希的消息，而不管其证据是否真实。一旦有用户找到了这一漏洞，便迅速被成百上千的钱包复制和粘贴，形成一种“群体攻击”，将针对性的攻击变成了 opportunistic exploração。

值得注意的是，这并不是一个传统的单一攻击者的攻击。这一漏洞允许任何人复制完全相同的交易格式，迅速 drain 资金。在短短几个小时内，Nomad损失了超过1.9亿美元的资产，其中包括以太坊（ETH）、USDC、WBTC以及各种ERC-20代币。在这其中，大约8800万美元的资金最终被追踪到从事洗钱活动的钱包，而不是自愿归还或白帽恢复。

在漏洞发生后，TRM Labs迅速与Nomad团队合作，识别出资金的出口并追踪复杂的资金流动网络。据美国司法部的起诉书，古列维奇在洗钱被盗资金的过程中扮演了关键角色。区块链分析显示，古列维奇关联的钱包在桥接事件发生后的数小时内收到了被盗资产，并开始将资金分散到多个区块链上。这一链跳策略常常用于复杂化归属，增加追踪的难度。

随后，他使用了一种经典的混合器栈：通过以太坊上的Tornado Cash进行资产交易，然后将以太坊兑换为隐私币如门罗币（Monero）和达世币（Dash）。这些隐私保护资产通过非托管交易所和去中心化流动池传输，随后通过场外交易商和与在不透明司法管辖区注册的空壳公司相关的海外银行账户兑现。

进一步分析表明，古列维奇利用以虚拟资产服务提供者（VASPs）为洛杉矶的放宽的了解你的客户（KYC）标准，将加密资产转换为法币，也利用了执法能力有限的管辖区的对等平台。有些资金也通过NFT市场、游戏平台和DeFi贷款协议重返加密生态系统，试图“洗”资金并使其看起来合法。

本周的引渡反映出对跨国打击加密犯罪的日益重视。以色列检察官和法官强调，古列维奇的案件符合以色列和美国法律下的金融犯罪标准，值得他转移到美国受审。他的引渡标志着一起再次通过实质性转移向与DeFi漏洞相关的网络犯罪行为提起起诉的强有力例证。

据报道，以色列当局在DOJ的正式请求后迅速实施了逮捕，他们注意到此案的严重性和大规模数字资产盗窃与洗钱的全球影响。古列维奇面临美国的多项联邦指控，包括电信欺诈、阴谋和洗钱。

在更广泛的背景中，TRM Labs在其《非法加密生态系统报告》中指出Nomad Bridge漏洞是2022年十大最大DeFi黑客攻击之一。该案典型地反映出：由于跨链融资的巨大价值，桥接协议愈发成为攻击目标——这些协议通常存在不成熟或未经审计的代码。

Nomad案例中的洗钱技术——包括Tornado Cash、门罗币、空壳公司和链跳——与追求利润的行为主体和国家级团体使用的手法相似。此次事件也引发了行业的警觉，促使了新的安全审计、桥接架构升级以及执法工作对DeFi与洗钱交汇处的更加集中关注。

关键嫌疑人在Nomad Bridge漏洞事件中的成功逮捕与引渡，表明在加密领域伪匿名性并不意味着不受制裁。通过全球合作、数据驱动的调查和日益复杂的区块链情报，执法机构正在缩小与非法行为人之间的距离。TRM Labs仍然致力于在追踪加密犯罪和保护金融体系完整性方面支持全球合作伙伴。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！