Мостът Nomad бе лишен от почти 100% от ликвидността си – 190,7 млн. долара – след като стотици адреси копираха експлойта, използван от хакер, за да открадне 100 WBTC на стойност 2,3 млн. долара.
Номадският мост за токени пострада от експлойт на 1 август, който позволи на няколко души да източат моста със 190,7 млн. долара.
Първите признаци за проблеми започнаха около 21:23 ч. UTC, след като хакер експлоатира моста, за да изтегли 100 WBTC на стойност 2,3 млн. долара.
Няколко други лица копираха кода на първата подозрителна транзакция и промениха адреса, за да участват в източването на средствата.
1/ Nomad току-що бе източена за над 150 млн. долара в един от най-хаотичните хакове, които Web3 някога е виждал. Как точно се е случило това и каква е основната причина? Позволете ми да ви заведа зад кулисите pic.twitter.com/Y7Q3fZ7ezm
– samczsun (@samczsun) 1 август 2022 г.
Мостът Nomad позволяваше прехвърляне на токени между блокчейна Ethereum (ETH), Avalanche (AVAX), Evmos (EVMOS), Moonbeam (GLMR) и Milkomeda C1.
Съобщения, които се появяват в публичните сървъри Discord за случайни хора, които задигат 3-20 хил. долара от моста Nomad – всичко, което трябваше да се направи, беше да се копира транзакцията на първия хакер и да се промени адресът, след което да се натисне бутон за изпращане чрез Etherscan. Истински криптомодел – първият децентрализиран обир. https://t.co/jWV9AamBer
– FatMan (@FatManTerra) August 2, 2022
За разлика от други криптографски експлойти, при които само няколко адреса са пряко свързани с хакерската атака, стотици адреси са отговорни за източването на моста Nomad на почти всички заключени в него 190,7 млн. долара.
2/ Очевидно е, че в този хак са участвали множество портфейли, които успешно са източили средствата.
Общо 39 млн. долара в USDC са били откраднати в рамките на една транзакция, като 202 440 долара са изтеглени многократно от моста. pic.twitter.com/ciXfv3Ebpo
– The woke blunt (@Manikumar111111) August 2, 2022
Странното е, че някои от операциите за експлоатиране имат една и съща стойност. Например, имаше над 200 транзакции с точно 202 440,725413 USDC.
От моста бяха откраднати няколко токена като WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL и C3.
Според Oxfoobar атаката се е случила поради лоша оперативна стратегия, довела до „лошо инициализиране на корена Merkle, което е довело до това, че всяко съобщение е било доказано като валидно по подразбиране.“
TL;DR – лоша оперативна стратегия доведе до лоша инициализация на корена Merkle, която доведе до това, че всяко съобщение се оказа валидно по подразбиране
Неподходящо време, тъй като екипът на Nomad набра кръг от 22 млн. долара преди няколко месеца и наскоро обяви значителна подкрепа https://t.co/tsPTigF8XV
– foobar (@0xfoobar) August 2, 2022
Екипът на Nomad потвърди експлойта и заяви, че разследва събитията.
Запознати сме с инцидента, свързан с моста за жетони на Nomad. В момента провеждаме разследване и ще предоставим актуализации, когато разполагаме с тях.
– Nomad (⤭⛓) (@nomadxyz_) 1 август 2022 г.
Междувременно Moonbeam премина в режим на поддръжка, „за да разследва инцидент със сигурността на интелигентен договор, внедрен в мрежата. „
1/ Важно известие: Мрежата Moonbeam премина в режим на поддръжка, за да разследва инцидент, свързан със сигурността на интелигентен договор, разположен в мрежата.
– Moonbeam Network (@MoonbeamNetwork) August 1, 2022
1/ По-рано днес имаше инцидент със сигурността, който засегна @nomadxyz_ мостовете към Moonbeam. Почти всички активи в интелигентния договор Ethereum Mainnet на Nomad бяха източени. Не открихме доказателства, че неотдавнашният инцидент със сигурността е свързан с кодовата база на Moonbeam.
– Moonbeam Network (@MoonbeamNetwork) August 2, 2022
Peckshield разкри, че е открил 41 адреса, които са заграбили около 152 млн. долара (80%) от откраднатите средства.
Според фирмата за блокчейн сигурност един от портфейлите е принадлежал на хакера, който е откраднал 80 млн. долара от DeFi платформата Rari Capital и Saddle Finance.
PeckShieldAlert PeckShield е открил ~41 адреса, заграбили ~152 млн. долара (~80%) в мостовия експлойт @nomadxyz_, включително ~7 MEV Bots (~7,1 млн. долара), @RariCapital Arbitrum експлойтър (~3,4 млн. долара) и 6 White Hat (~8,2 млн. долара).
~10% от тези адреси с имена ENS получават 6,1 млн. долара pic.twitter.com/UUjk7ZiiKE– PeckShieldAlert (@PeckShieldAlert) August 2, 2022
Хакерите от „уайтхат“ спасяват част от откраднатите средства
Въпреки че всичко изглежда като свободен грабеж, наличната информация потвърждава, че някои от тези, които са взели средства от моста, са били whitehat хакери, които са искали да попречат на крадците да получат достъп до средствата.
Някои от тези, които са източили средствата, потвърдиха, че планират да ги върнат.
Връщам тези пари, FBI pls calm down. не, не съм планирал да ги открадна и да, знам, че този адрес е doxed
.eth
Nomad– .eth (@SpaceWigger) August 2, 2022
Един от тях пише:
„Това е whitehack. Планирам да върна средствата. Очаквам официална комуникация от екипа на Nomad (моля, посочете имейл адрес за комуникация). Не съм разменял никакви активи, дори след като знаех, че USDC може да бъде замразена. Прехвърлих USDC, FRAX и CQT токен от други адреси, за да консолидирам. Бих искал да мога да спася повече средства, но това ставаше твърде бавно. „
Други също са се идентифицирали като whitehat хакери и са помолили екипа да се свърже с тях, включително някой, който е успял да получи 1 млн. долара.
Няколко от тези, които са грабнали мостови средства, някои от които публично са излезли напред и са предложили да върнат
.eth
Експлоататор на капитала на Rari
darkfi.eth pic.twitter.com/2adlMl6Pj3– foobar (@0xfoobar) August 2, 2022