Nomad Bridge понес убытки в размере 190 миллионов долларов в результате хаотической атаки с копированием и вставкой


Рано утром 2 августа Nomad bridge опубликовал предупреждение о том, что ему известно об эксплойте. В последующие часы все средства протокола в размере более 190 миллионов долларов были истощены.

Разработчик криптосообщества и «белая шляпа» samczsun разорвали цепочку событий и объяснили, что произошло. Он назвал атаку «одним из самых хаотичных взломов, которые когда-либо видел Web3».

Nomad — это токен-мост для межсетевых переводов между Ethereum, Avalanche, Milkomeda и Moonbeam.

Фонды кочевников истощены

Исследователи поделились твитом в Telegram-канале ETHSecurity, показывающим несколько транзакций средств, покидающих мост. На первый взгляд это выглядело как неправильная конфигурация десятичных знаков токена, но samczsun обнаружил:

«Однако после некоторых мучительных ручных раскопок в сети Moonbeam я подтвердил, что, хотя транзакция Moonbeam перевела 0,01 WBTC, транзакция Ethereum каким-то образом достигла 100 WBTC».

Что отличает этот эксплойт, так это то, что транзакции не были «доказаны» и выполнялись напрямую. «Возможность обработать сообщение, не доказав его сначала, крайне нехорошо», — сказал Самчсун. Кодировщик еще немного покопался и обнаружил фатальную ошибку в смарт-контракте «Реплика», инициализированном во время обычного обновления Nomad.

Он добавил, что это было хаотично, потому что похитителям криптовалюты не нужны были какие-либо технические знания. Им просто нужно было найти сработавшую транзакцию, заменить целевой адрес на свой и ретранслировать ее.

«Обычное обновление помечало нулевой хеш как действительный корень, что позволяло подделывать сообщения на Nomad. Злоумышленники злоупотребляли этим для копирования/вставки транзакций и быстро опустошали мост в бешеной борьбе за всех».

ТВЛ до нуля

Nomad даже обнаружил поддельные адреса, пытающиеся украсть средства, возвращаемые на мост.

Согласно DefiLlama, общая заблокированная стоимость Nomad упала со 190,38 млн долларов до 5336 долларов за последние несколько часов.

Nomad — это последняя атака на токен-бридж в этом году после громких эксплойтов Ronin Bridge, Wormhole и Harmony.

СПЕЦИАЛЬНОЕ ПРЕДЛОЖЕНИЕ (при поддержке)

Binance Free $100 (эксклюзивно): используйте эту ссылку, чтобы зарегистрироваться и получить $100 бесплатно и скидку 10% на Binance Futures в первый месяц. (условия).

Специальное предложение PrimeXBT: используйте эту ссылку, чтобы зарегистрироваться и ввести код POTATO50, чтобы получить до 7000 долларов США на свои депозиты.

Оставьте ваш отзыв!

Leave a reply

Майнинг, блокчейн, криптовалюты, цены, купить-продать, графики, прогнозы
Logo
Enable registration in settings - general