Nomad Bridge понес убытки в размере 190 миллионов долларов в результате хаотической атаки с копированием и вставкой

Рано утром 2 августа Nomad bridge опубликовал предупреждение о том, что ему известно об эксплойте. В последующие часы все средства протокола в размере более 190 миллионов долларов были истощены.

Разработчик криптосообщества и «белая шляпа» samczsun разорвали цепочку событий и объяснили, что произошло. Он назвал атаку «одним из самых хаотичных взломов, которые когда-либо видел Web3».

1/ Nomad только что потерял более 150 миллионов долларов в результате одного из самых хаотичных взломов, которые когда-либо видел Web3. Как это произошло, и в чем была первопричина? Позвольте мне провести вас за кулисы 👇 pic.twitter.com/Y7Q3fZ7ezm

— Самчсун (@samczsun) 1 августа 2022 г.

Nomad — это токен-мост для межсетевых переводов между Ethereum, Avalanche, Milkomeda и Moonbeam.

Фонды кочевников истощены

Исследователи поделились твитом в Telegram-канале ETHSecurity, показывающим несколько транзакций средств, покидающих мост. На первый взгляд это выглядело как неправильная конфигурация десятичных знаков токена, но samczsun обнаружил:

«Однако после некоторых мучительных ручных раскопок в сети Moonbeam я подтвердил, что, хотя транзакция Moonbeam перевела 0,01 WBTC, транзакция Ethereum каким-то образом достигла 100 WBTC».

Что отличает этот эксплойт, так это то, что транзакции не были «доказаны» и выполнялись напрямую. «Возможность обработать сообщение, не доказав его сначала, крайне нехорошо», — сказал Самчсун. Кодировщик еще немного покопался и обнаружил фатальную ошибку в смарт-контракте «Реплика», инициализированном во время обычного обновления Nomad.

Он добавил, что это было хаотично, потому что похитителям криптовалюты не нужны были какие-либо технические знания. Им просто нужно было найти сработавшую транзакцию, заменить целевой адрес на свой и ретранслировать ее.

«Обычное обновление помечало нулевой хеш как действительный корень, что позволяло подделывать сообщения на Nomad. Злоумышленники злоупотребляли этим для копирования/вставки транзакций и быстро опустошали мост в бешеной борьбе за всех».

ТВЛ до нуля

Nomad даже обнаружил поддельные адреса, пытающиеся украсть средства, возвращаемые на мост.

Нам известно о мошенниках, которые выдают себя за кочевников и предоставляют поддельные адреса для сбора денег. Мы еще не предоставляем инструкции по возврату промежуточных средств. Игнорировать сообщения со всех каналов, кроме официального канала Nomad: @nomadxyz_

— Кочевник (⤭⛓🏛) (@nomadxyz_) 2 августа 2022 г.

Согласно DefiLlama, общая заблокированная стоимость Nomad упала со 190,38 млн долларов до 5336 долларов за последние несколько часов.

Nomad — это последняя атака на токен-бридж в этом году после громких эксплойтов Ronin Bridge, Wormhole и Harmony.