Експлойт Nomad був одним із найбільших зломів криптовалюти в історії. У результаті було виведено коштів на суму понад 190 мільйонів доларів. Його назвали «одним із найбільш хаотичних хаків, які коли-небудь бачив Web3».
PeckShield виявив повернення 9 мільйонів доларів США в різних криптоактивах до міжланцюгового мосту. Згідно з висновками компанії, більшість коштів було повернуто у формі стейблкойнів USDC, за якими слідують USDT та інші альткоїни.
Звернення Nomad про повернення коштів
Команда експлуатувати сталася через недолік у смарт-контракті. Це змусило сотні користувачів без технічних знань знайти транзакцію, яка спрацювала, змінити цільову адресу на власну та повторно транслювати її. По суті, це копіювання кроків, які виконує оригінальний хакер. Природа події привела анонімного дослідника Терра FatMan до вважати напад як «перше децентралізоване пограбування».
Пізніше команда підтвердила, що деякі користувачі, які збирали кошти, насправді намагалися допомогти проекту, не даючи криптовалюті потрапити в чужі руки. Тоді Nomad закликав хакерів із білими капелюхами та етичних дослідників повернути токени.
Фірма безпеки блокчейну PeckShield, зазначив, що майже 3.78 мільйона USDC, 2 мільйони USDT, 15.8 мільйона CQT (приблизно 1.38 мільйона доларів), 1.28 мільйона доларів США FRAX (приблизно 1.2 мільйона доларів США), 100 ETH (приблизно 164 тисячі доларів США), 200 WETH (приблизно 328 тисяч доларів США) було відновлено. Більше 50% вкрадених коштів все ще зберігаються на 3 основних адресах.
Nomad оголосив про отримання 22.4 мільйона доларів у початковому раунді від галузевих гігантів Coinbase Ventures, OpenSea, CryptoCom Capital, Polygon, Gnosis, Polygon тощо всього за кілька днів до порушення безпеки. Команда в даний час робочий з провідною розвідувальною компанією TRM Labs, а також з правоохоронними органами, щоб відстежити вкрадені кошти та ідентифікувати гаманці одержувачів.
Головний червоний прапор проігноровано
У міру розслідування з’явилися повідомлення про помилки з боку Nomad. За даними групи криптоаналізу BestBrokers, уразливість, якою скористалися зловмисники, нібито була виділений у Звіті про аудит безпеки, складеному Quantstamp 6 червня 2022 р.
Повідомляється, що це було визнано "низьким ризиком". Навіть команда Nomad відповідь сказавши – «Ми вважаємо фактично неможливим знайти прообраз порожнього аркуша».
Криптовалюта звернувся до Nomad щодо розробки та оновить історію відповідно.
Binance безкоштовно $100 (ексклюзив): Використовуйте це посилання щоб зареєструватися та отримати 100 доларів США безкоштовно та знижку 10% на Binance Futures за перший місяць (terms ).
Спеціальна пропозиція PrimeXBT: Використовуйте це посилання щоб зареєструватися та ввести код POTATO50, щоб отримати до 7,000 доларів США на свої депозити.
Джерело: https://cryptopotato.com/hacker-returns-9m-to-nomad-after-draining-over-190m/