Рано утром 2 августа Nomad bridge опубликовал предупреждение о том, что ему известно об эксплойте. В последующие часы все средства протокола в размере более 190 миллионов долларов были истощены.
Разработчик криптосообщества и «белая шляпа» samczsun разорвали цепочку событий и объяснили, что произошло. Он назвал атаку «одним из самых хаотичных взломов, которые когда-либо видел Web3».
1/ Nomad только что потерял более 150 миллионов долларов в результате одного из самых хаотичных взломов, которые когда-либо видел Web3. Как это произошло, и в чем была первопричина? Позвольте мне провести вас за кулисы 👇 pic.twitter.com/Y7Q3fZ7ezm
— Самчсун (@samczsun) 1 августа 2022 г.
Nomad — это токен-мост для межсетевых переводов между Ethereum, Avalanche, Milkomeda и Moonbeam.
Фонды кочевников истощены
Исследователи поделились твитом в Telegram-канале ETHSecurity, показывающим несколько транзакций средств, покидающих мост. На первый взгляд это выглядело как неправильная конфигурация десятичных знаков токена, но samczsun обнаружил:
«Однако после некоторых мучительных ручных раскопок в сети Moonbeam я подтвердил, что, хотя транзакция Moonbeam перевела 0,01 WBTC, транзакция Ethereum каким-то образом достигла 100 WBTC».
Что отличает этот эксплойт, так это то, что транзакции не были «доказаны» и выполнялись напрямую. «Возможность обработать сообщение, не доказав его сначала, крайне нехорошо», — сказал Самчсун. Кодировщик еще немного покопался и обнаружил фатальную ошибку в смарт-контракте «Реплика», инициализированном во время обычного обновления Nomad.
Он добавил, что это было хаотично, потому что похитителям криптовалюты не нужны были какие-либо технические знания. Им просто нужно было найти сработавшую транзакцию, заменить целевой адрес на свой и ретранслировать ее.
«Обычное обновление помечало нулевой хеш как действительный корень, что позволяло подделывать сообщения на Nomad. Злоумышленники злоупотребляли этим для копирования/вставки транзакций и быстро опустошали мост в бешеной борьбе за всех».
ТВЛ до нуля
Nomad даже обнаружил поддельные адреса, пытающиеся украсть средства, возвращаемые на мост.
Нам известно о мошенниках, которые выдают себя за кочевников и предоставляют поддельные адреса для сбора денег. Мы еще не предоставляем инструкции по возврату промежуточных средств. Игнорировать сообщения со всех каналов, кроме официального канала Nomad: @nomadxyz_
— Кочевник (⤭⛓🏛) (@nomadxyz_) 2 августа 2022 г.
Согласно DefiLlama, общая заблокированная стоимость Nomad упала со 190,38 млн долларов до 5336 долларов за последние несколько часов.
Nomad — это последняя атака на токен-бридж в этом году после громких эксплойтов Ronin Bridge, Wormhole и Harmony.
Binance Free $100 (эксклюзивно): используйте эту ссылку, чтобы зарегистрироваться и получить $100 бесплатно и скидку 10% на Binance Futures в первый месяц. (условия).
Специальное предложение PrimeXBT: используйте эту ссылку, чтобы зарегистрироваться и ввести код POTATO50, чтобы получить до 7000 долларов США на свои депозиты.
Купить крипту на BINANCE и получить ваучер на 100USDT! Успей сейчас, предложение ограничено!