We wczesnych godzinach 2 sierpnia Nomad bridge opublikował ostrzeżenie, że wie o trwającym exploitu. W kolejnych godzinach fundusze całego protokołu wynoszące ponad 190 milionów dolarów zostały wyczerpane.
Twórca społeczności kryptograficznej i biały kapelusz „samczsun” przerwali łańcuch wydarzeń, wyjaśniając, co się stało. Atak nazwał „jednym z najbardziej chaotycznych hacków, jakie kiedykolwiek widział Web3”.
1/ Nomad właśnie został wyczerpany na ponad 150 milionów dolarów w jednym z najbardziej chaotycznych hacków, jakie kiedykolwiek widział Web3. Jak dokładnie to się stało i jaka była główna przyczyna? Pozwól, że zabiorę cię za kulisy? pic.twitter.com/Y7Q3fZ7ezm
- samczsun (@samczsun) 1 sierpnia 2022 r.
Nomad to tokenowy most do transferów między łańcuchami Ethereum, Avalanche, Milkomeda i Moonbeam.
Wyczerpane fundusze Nomada
Badacze udostępnili tweet w kanale ETHSecurity Telegram, pokazujący wiele transakcji funduszy opuszczających most. Na pierwszy rzut oka wydawało się, że jest to błędna konfiguracja w symbolu dziesiętnym, ale samczsun odkrył:
„Jednak po pewnym bolesnym ręcznym kopaniu w sieci Moonbeam potwierdziłem, że podczas gdy transakcja Moonbeam pokryła 0.01 WBTC, w jakiś sposób transakcja Ethereum połączyła się w 100 WBTC”.
Tym, co wyróżnia ten exploit, jest to, że transakcje nie zostały „udowodnione” i wykonane bezpośrednio. „Możliwość przetworzenia wiadomości bez wcześniejszego udowodnienia jej jest wyjątkowo Niedobra” – powiedział samczsun. Koder wykonał trochę więcej kopania i znalazł fatalną wadę w inteligentnym kontrakcie „Replica” zainicjowanym podczas rutynowej aktualizacji Nomada.
Dodał, że było to chaotyczne, ponieważ złodzieje kryptowalut nie potrzebowali żadnej wiedzy technicznej. Musieli tylko znaleźć transakcję, która zadziałała, zastąpić adres docelowy własnym i ponownie go wyemitować.
„Rutynowa aktualizacja oznaczała zerowy skrót jako prawidłowy root, co skutkowało umożliwieniem fałszowania wiadomości na Nomadzie. Atakujący wykorzystali to, aby skopiować/wkleić transakcje i szybko opróżnili most w szaleńczym trybie „free-for-all””
TVL do zera
Nomad wykrył nawet fałszywe adresy próbujące ukraść środki zwrócone na mostek.
Wiemy o osobach podszywających się pod Nomada i podających fałszywe adresy w celu zbierania środków. Nie dostarczamy jeszcze instrukcji dotyczących zwrotu środków pomostowych. Zignoruj komunikaty ze wszystkich kanałów innych niż oficjalny kanał Nomada: @nomadxyz_
— Nomad (⤭⛓?) (@nomadxyz_) 2 sierpnia 2022 r.
Zgodnie z Defilama, całkowita zablokowana wartość Nomada spadła w ciągu ostatnich kilku godzin z 190.38 miliona dolarów do 5,336 XNUMX dolarów.
Nomad to najnowszy tokenowy atak mostowy w tym roku po głośnych exploitach mostu Ronin, tunelu czasoprzestrzennego i Harmonia.
Binance Free 100 $ (ekskluzywne): Użyj tego linku zarejestrować się i otrzymać 100 $ za darmo i 10% zniżki na opłaty na Binance Futures w pierwszym miesiącu (REGULAMIN).
Oferta specjalna PrimeXBT: Użyj tego linku aby się zarejestrować i wprowadzić kod POTATO50, aby otrzymać do 7,000 $ na swoje depozyty.
Źródło: https://cryptopotato.com/nomad-bridge-suffers-190m-loss-in-chaotic-copy-paste-attack/