В ранните часове на 2 август Nomad bridge публикува предупреждение, че е наясно с продължаващ експлойт. През следващите часове бяха източени всички средства на протокола от над 190 милиона долара.
Разработчик на крипто общност и бяла шапка „samczsun“ разби веригата от събития, обяснявайки какво се е случило. Той определи атаката като „един от най-хаотичните хакове, които Web3 някога е виждал“.
1/ Nomad току-що беше източен за над $150 милиона в един от най-хаотичните хакове, които Web3 някога е виждал. Как точно се случи това и каква беше първопричината? Позволи ми да те заведа зад кулисите? pic.twitter.com/Y7Q3fZ7ezm
- samczsun (@samczsun) Август 1, 2022
Nomad е символичен мост за междуверижни трансфери между Ethereum, Лавина, Милкомеда и Лунен лъч.
Номадските средства са източени
Изследователите споделиха туит в канала на ETHSecurity Telegram, показващ множество транзакции на средства, напускащи моста. На пръв поглед изглеждаше грешна конфигурация в символични десетични знаци, но samczsun откри:
„Въпреки това, след известно болезнено ръчно копаене в мрежата на Moonbeam, потвърдих, че докато транзакцията на Moonbeam е преодоляла 0.01 WBTC, по някакъв начин транзакцията на Ethereum е преодоляла 100 WBTC.“
Това, което прави този експлойт различен е, че транзакциите не са „доказани“ и са изпълнени директно. „Да можеш да обработиш съобщение, без първо да го докажеш, не е изключително добре“, каза samczsun. Кодерът направи още малко копаене и откри фатален пропуск в интелигентния договор „Реплика“, инициализиран по време на рутинна надстройка на Nomad.
Той добави, че това е хаотично, защото крипто крадците не се нуждаят от технически познания. Те просто трябваше да намерят транзакция, която работи, да заменят целевия адрес със свой собствен и да го излъчат отново.
„Рутинно надграждане маркира нулевия хеш като валиден корен, което имаше ефекта да позволи съобщенията да бъдат подправени на Nomad. Нападателите злоупотребиха с това, за да копират/поставят транзакции и бързо източиха моста в неистов безплатен за всички,”
TVL до нула
Nomad дори е открил измамни адреси, които се опитват да откраднат средства, върнати на моста.
Наясно сме с имитатори, представящи се за Nomad и предоставящи измамни адреси за събиране на средства. Все още не предоставяме инструкции за връщане на мостови средства. Пренебрегвайте съобщенията от всички канали, различни от официалния канал на Nomad: @nomadxyz_
— Номад (⤭⛓?) (@nomadxyz_) Август 2, 2022
Според ДефиЛлама, общата заключена стойност на Nomad се срина от $190.38 милиона до $5,336 през последните няколко часа.
Nomad е най-новата токен бридж атака тази година след високопоставените подвизи на Ronin Bridge, Wormhole и Хармония.
Binance Безплатни $100 (изключително): Използвайте тази връзка да се регистрирате и да получите $100 безплатни и 10% отстъпка от таксите за Binance Futures първия месец (условия).
Специална оферта на PrimeXBT: Използвайте тази връзка за да се регистрирате и въведете POTATO50 код, за да получите до $7,000 на вашите депозити.
Източник: https://cryptopotato.com/nomad-bridge-suffers-190m-loss-in-chaotic-copy-paste-attack/