Nomad werd beroofd van bijna 100% van zijn liquiditeit – $190,7 miljoen – nadat honderden adressen de exploit kopieerden die een hacker gebruikte om 100 WBTC’s ter waarde van $2,3 miljoen te stelen.
Nomad token bridge leed op 1 augustus onder een exploit die verschillende mensen in staat stelde om de bridge van $190,7 miljoen te legen.
Het eerste teken van problemen begon om ongeveer 21:23 uur UTC nadat een hacker de bridge had misbruikt om 100 WBTC’s ter waarde van $2,3 miljoen op te nemen.
Verschillende anderen kopieerden de code van de eerste verdachte transactie en veranderden het adres om deel te nemen aan het leeghalen van de fondsen.
1/ Nomad is net voor meer dan $150M leeggehaald in een van de meest chaotische hacks die Web3 ooit heeft gezien. Hoe is dit precies gebeurd, en wat was de hoofdoorzaak? Sta me toe u mee te nemen achter de schermen pic.twitter.com/Y7Q3fZ7ezm
– samczsun (@samczsun) Augustus 1, 2022
De Nomad bridge maakte tokenoverdracht mogelijk tussen Ethereum (ETH), Avalanche (AVAX), Evmos (EVMOS), Moonbeam (GLMR), en Milkomeda C1 blockchains.
Berichten duiken op in publieke Discord-servers van willekeurige mensen die $3K-$20K stelen van de Nomad-brug – men hoefde alleen maar de transactie van de eerste hacker te kopiëren en het adres te veranderen, en dan op verzenden te drukken via Etherscan. Op ware crypto wijze, de eerste gedecentraliseerde overval. https://t.co/jWV9AamBer
– FatMan (@FatManTerra) August 2, 2022
In tegenstelling tot andere crypto-exploits waarbij slechts een paar adressen direct met de hack in verband worden gebracht, waren honderden adressen verantwoordelijk voor het leegtrekken van de Nomad-brug van bijna alle $190,7 miljoen die erin was opgesloten.
2/ Blijkbaar zijn er meerdere wallets betrokken bij deze hack en hebben ze met succes de fondsen leeggehaald.
In totaal 39 miljoen dollar in USDC zijn gestolen in een enkele transactie waarbij 202.440 dollar meerdere keren van de brug is gehaald. pic.twitter.com/ciXfv3Ebpo
– The woke blunt (@Manikumar111111) Augustus 2, 2022
Vreemd genoeg hadden sommige van de exploitatietransacties dezelfde waarde. Er waren bijvoorbeeld meer dan 200 transacties van precies 202.440,725413 USDC.
Verschillende tokens zoals WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL, en C3 werden gestolen van de brug.
Volgens Oxfoobar was de aanval te wijten aan een slechte operationele strategie die “slechte Merkle root initialisatie veroorzaakte waardoor elk bericht standaard geldig werd bevonden. “
TL;DR – een slechte operationele strategie leidde tot een slechte Merkle root initialisatie die ertoe leidde dat elk bericht standaard geldig werd bevonden
Slechte timing aangezien het Nomad team enkele maanden geleden een ronde van $22 miljoen ophaalde en onlangs belangrijke steun aankondigde https://t.co/tsPTigF8XV
– foobar (@0xfoobar) Augustus 2, 2022
Het Nomad-team heeft de exploit bevestigd en beweert de gebeurtenissen te onderzoeken.
We zijn op de hoogte van het incident met de Nomad token bridge. We onderzoeken het momenteel en zullen updates geven zodra we die hebben.
– Nomad (⤭⛓) (@nomadxyz_) Augustus 1, 2022
Ondertussen ging Moonbeam in onderhoudsmodus “om een beveiligingsincident te onderzoeken met een smart contract op het netwerk. “
1/ Belangrijke mededeling: Het Moonbeam Netwerk is in onderhoudsmodus gegaan om een beveiligingsincident te onderzoeken met een smart contract ingezet op het netwerk.
– Moonbeam Network (@MoonbeamNetwork) Augustus 1, 2022
1/ Eerder vandaag was er een veiligheidsincident dat de @nomadxyz_ bruggen naar Moonbeam beïnvloedde. Bijna alle activa in Nomad’s Ethereum Mainnet smart contract zijn leeggehaald. We hebben geen bewijs gevonden dat het recente beveiligingsincident gerelateerd was aan de Moonbeam codebase.
– Moonbeam Network (@MoonbeamNetwork) August 2, 2022
Peckshield onthulde dat het 41 adressen heeft gedetecteerd die ruwweg $152 miljoen (80%) van de gestolen fondsen hebben gepakt.
Volgens het blockchain beveiligingsbedrijf behoorde een van de wallets toe aan de hacker die $80 miljoen stal van DeFi platform Rari Capital en Saddle Finance.
PeckShieldAlert PeckShield heeft ~41 adressen gedetecteerd met ~$152M (~80%) in de @nomadxyz_ bridge exploit, waaronder ~7 MEV Bots (~$7,1M), @RariCapital Arbitrum exploiter (~$3,4M), en 6 White Hat (~$8,2M).
~10% van deze adressen met ENS namen krijgen $6.1M pic.twitter.com/UUjk7ZiiKE– PeckShieldAlert (@PeckShieldAlert) Augustus 2, 2022
Whitehat hackers redden een deel van het gestolen geld
Hoewel de hele zaak een free for all plundering lijkt, bevestigt de beschikbare informatie dat sommigen van degenen die geld van de brug haalden whitehat hackers waren die probeerden te voorkomen dat de dieven toegang tot het geld kregen.
Sommigen die het geld hebben opgenomen, hebben bevestigd dat ze van plan zijn het terug te geven.
Ik geef het geld terug, FBI kalmeer. Nee, ik was niet van plan het te stelen en ja, ik weet dat dit adres gedaxed is.
Ik heb het.
Nomad– .eth (@SpaceWigger) Augustus 2, 2022
Een van hen schreef:
“Dit is een whitehack. Ik ben van plan om het geld terug te geven. Ik wacht op officiële communicatie van het Nomad-team (geef een e-mailadres op voor communicatie). Ik heb geen activa geruild, zelfs niet nadat ik wist dat USDC kan worden bevroren. Ik heb USDC, FRAX en CQT token overgeboekt van andere adressen om te consolideren. Ik wou dat ik meer fondsen kon redden, maar het ging te langzaam. “
Anderen hebben zich ook geïdentificeerd als whitehat hackers en vroegen het team om contact op te nemen, waaronder iemand die $1 miljoen wist te bemachtigen.
Een paar van hen hebben overbruggingsgeld gepakt, sommigen hebben publiekelijk aangeboden…
.eth
Rari Capital Exploiter
darkfi.eth pic.twitter.com/2adlMl6Pj3– foobar (@0xfoobar) Augustus 2, 2022