Вранці 2 серпня Nomad bridge опублікував сповіщення про те, що йому стало відомо про поточний експлойт. Протягом наступних годин усі кошти протоколу на понад 190 мільйонів доларів були виведені.
Розробник криптоспільноти та білий капелюх «samczsun» зламав ланцюг подій, пояснюючи, що сталося. Він назвав атаку «одним із найбільш хаотичних хакерів, які коли-небудь бачив Web3».
1/ Nomad щойно спустошив понад 150 мільйонів доларів США в результаті одного з найбільш хаотичних хаків, які будь-коли бачив Web3. Як саме це сталося і що було першопричиною? Дозвольте провести вас за лаштунками? pic.twitter.com/Y7Q3fZ7ezm
- samczsun (@samczsun) Серпень 1, 2022
Nomad — це символічний міст для міжланцюжкових переказів Ethereum, Лавина, Мілкомеда та Місячний промінь.
Кошти вичерпано
Дослідники поділилися твітом у каналі ETHSecurity Telegram, у якому показано численні транзакції коштів, що залишають міст. На перший погляд здавалося, що це неправильна конфігурація десяткових знаків, але samczsun виявив:
«Однак після деякого болісного ручного копання в мережі Moonbeam я підтвердив, що в той час як транзакція Moonbeam справді перемикала 0.01 WBTC, якимось чином транзакція Ethereum перемикала 100 WBTC».
Що відрізняє цей експлойт, так це те, що транзакції не були «підтверджені» і виконувалися безпосередньо. «Можливість обробити повідомлення без попереднього підтвердження — це вкрай погано», — сказав Самчун. Кодер ще трохи покопався й знайшов фатальну помилку в смарт-контракті «Репліка», ініціалізованому під час звичайного оновлення Nomad.
Він додав, що це було хаотично, оскільки криптозлодіям не потрібні були жодні технічні знання. Їм просто потрібно було знайти транзакцію, яка працює, замінити цільову адресу на власну та повторно транслювати її.
«Звичайне оновлення позначило нульовий хеш як дійсний корінь, що призвело до підробки повідомлень на Nomad. Зловмисники зловживали цим, щоб копіювати/вставляти транзакції, і швидко спустошили міст у шаленій безкоштовній операції»,
TVL до нуля
Nomad навіть виявив шахрайські адреси, які намагалися викрасти кошти, повернуті на міст.
Нам відомо про імітаторів, які видають себе за Nomad і надають шахрайські адреси для отримання коштів. Ми ще не надаємо інструкцій щодо повернення перехідних коштів. Ігнорувати повідомлення з усіх каналів, крім офіційного каналу Nomad: @nomadxyz_
— Nomad (⤭⛓?) (@nomadxyz_) Серпень 2, 2022
За оцінками Дефілама, за останні кілька годин загальна заблокована вартість Nomad впала з $190.38 млн до $5,336.
Nomad — остання атака на токен-бридж цього року після гучних експлойтів Ronin Bridge, Wormhole і Harmony.
Binance безкоштовно $100 (ексклюзив): Використовуйте це посилання щоб зареєструватися та отримати 100 доларів США безкоштовно та знижку 10% на Binance Futures за перший місяць (terms ).
Спеціальна пропозиція PrimeXBT: Використовуйте це посилання щоб зареєструватися та ввести код POTATO50, щоб отримати до 7,000 доларів США на свої депозити.
Джерело: https://cryptopotato.com/nomad-bridge-suffers-190m-loss-in-chaotic-copy-paste-attack/