Nomad Bridge потерпає від рейду на суму понад 190 мільйонів доларів

Перехресний ланцюговий міст Nomad Bridge став головною мішенню хакерів і… мародерів, і бог знає чого ще…

Nomad Bridge, протокол, який забезпечує взаємодію між різними блокчейнами, був зламаний цього тижня. Хакери скористалися вразливістю мосту та вкрав активи на суму понад 190 мільйонів доларів.

Активи, які постраждали в результаті інциденту, включають WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL і C3. Nomad — це наступне ім’я, яке приєднається до списку невдалих мостів, які зазнають великих атак після Axie Infinity та Horizon.

Nomad Bridge отримав великий удар

Перша підозріла транзакція була здійснена 2 серпня, коли хакери спробували переказати 100 Wrapped Bitcoin (WBTC), еквівалентні 2.3 мільйонам доларів з мосту.

Виявивши проблему щодо можливих подальших експлойтів, опортуністи скористалися лазівкою, скопіювали інформацію про транзакцію хакера, змінили оригінальну адресу на свої адреси та успішно зняли гроші.

Експлойт цього разу легко скопіювати, що пояснює, чому це найшвидша та хаотична атака.

Будь-хто в Discord проекту може просто скопіювати першу транзакцію зловмисника та змінити адресу, а потім натиснути «Надіслати через Etherscan», і вони випадковим чином отримають тисячі доларів за txid.

Як це взагалі могло статися?

Оскільки інцидент все ще розслідується, зламаний проект не надав жодних додаткових пояснень. Однак деякі криптодослідники та експерти вказали життєздатні відповіді.

Дикий захід фінансів

За словами дослідника Paradigm Сема Сана, вразливість виникає через іншу помилку, яку виявив і повідомив Nomad підрозділ аудиту смарт-контрактів Quantstamp на початку червня.

Проект вирішив іншу проблему, але в процесі цього він змінився на root 0x000…, що призвело до наслідків, які виникли.

Кожна транзакція проходитиме етап перевірки (перевірки), щоб переконатися, що вона дійсна. І хоча для цієї перевірки необхідний Root, розробник тут залишив його на 0x00, і цей код ідентифікації Root автоматично гарантує, що всі транзакції є дійсними.

Команда Nomad випустила попередження про подію, пов’язану з токеном Nomad, незабаром після того, як дізналася про це.

Відповідно до офіційної гілки Nomad у Twitter, міст Nomad був закритий після нападу. Команда заявила, що співпрацює з правоохоронними органами для подальшого розслідування події.

А саме,

«Нам відомо про імітаторів, які видають себе за Nomad і надають шахрайські адреси для збору коштів. Ми поки що не надаємо інструкцій щодо повернення мостових коштів. Не звертайте уваги на повідомлення з усіх каналів, крім офіційного каналу Nomad: @nomadxyz_».

Nomad — це чудова ідея

Nomad — це міст, який дозволяє передавати токени між різними блокчейнами, такими як Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 і Moonbeam (GLMR), через систему обміну повідомленнями Nomad.

Протокол має широкий спектр прикладних можливостей і може використовуватися для розробки міжланцюжкових програм.

Нещодавно компанія Nomad показала, що в квітні успішно залучила 22 мільйони доларів від провідних компаній галузі, включаючи Coinbase Ventures, OpenSea та п’ятьох інших великих гравців у початковому фінансуванні під керівництвом Polychain. Фінансування перевищило оцінку компанії до 225 мільйонів доларів.

Порівняно з атаками на міжланцюгові мости у 2021 році, ці атаки цього року завдали серйозної шкоди самому проекту, венчурним капіталам і проектам, пов’язаним із мостами, через природу з’єднання міжланцюгового мосту.

Той факт, що блокчейн децентралізований, полегшує його захист. Але всі протоколи та програмне забезпечення були створені людьми, тому цілком можливо, що є слабкі місця.

Останні атаки насправді не спрямовані на саму блокчейн-платформу. Натомість вони спрямовані на додатки як ігри, гаманці, обмінів, і мости.

Це веб- та мобільні програми, які використовують блокчейн, але вони все ще мають ті самі недоліки безпеки, що й традиційне програмне забезпечення, оскільки вони все ще є веб- та мобільними програмами.

З початку року було зламано чотири крос-ланцюгові мости, серед яких Wormhole, Ronin, Horizon і Nomad. Ніхто не має збитків менше 100 мільйонів доларів.

Cross-chain Bridge покращив взаємодію з блокчейном, що забезпечує кращий досвід для користувачів і розробників блокчейну. Однак через певні вразливості ці мости останнім часом стали популярною мішенню для зловмисників.