Nový hack ve světě cross-chain mostů: Nomad utrpěl zneužití chyby ve svých chytrých kontraktech, což vedlo k odčerpání 190 milionů dolarů, tedy téměř celé jeho celkové uzamčené hodnoty (TVL). Někteří lidé však využili této chyby a vybrali si co nejvíce prostředků, aby je ochránili, s tím, že jsou připraveni je co nejdříve poslat zpět.
Katastrofa pro příčný most Nomad
Přes noc došlo k masivnímu narušení, které vedlo k odčerpání více než 190 milionů dolarů z cross-chain mostu Nomad, který slouží k výměně tokenů mezi Ethereem (ETH), Avalanche (AVAX), Moonbeam (GLMR), Milkomeda C1 a Evmos.
Téměř všechny prostředky byly z mostu bleskově odčerpány, jak ukazuje tento graf z údajů dostupných na DefiLlama:
Celková uzamčená hodnota (TVL) na mostě Nomad
Podle údajů z řetězce by první podvodná transakce umožnila uživateli bridge vybrat 100 wBTC, což mělo v té době hodnotu 2,3 milionu dolarů. Postupně vyšla najevo chyba, která kvůli chybě v chytrých smlouvách umožňovala komukoli vybrat stejnou částku peněz vícekrát.
Některým lidem se naštěstí podařilo vybrat co nejvíce peněz, než prohlásili, že jednali jako whitehat, aby ochránili dotyčné prostředky, a že je vrátí, jakmile bude poskytnuta spolehlivá cílová adresa, jak dokazuje tato transakce.
Pozadí exploitu
Podle posmrtné zprávy @samczsun, výzkumníka společnosti Paradigm, byla chyba přímým důsledkem aktualizace chytrých smluv Nomad bridge.
1/ Nomad byl právě vyčerpán za více než 150 milionů dolarů v jednom z nejchaotičtějších hackerských útoků, které kdy Web3 viděl. Jak se to přesně stalo a co bylo hlavní příčinou? Dovolte mi, abych vás vzal do zákulisí pic.twitter.com/Y7Q3fZ7ezm
– samczsun (@samczsun) Srpna 1, 2022
Když je token převeden prostřednictvím můstku, je před opětovnou distribucí v zabalené podobě uzamčen k chytré smlouvě.
V tomto případě chyba v chytré smlouvě umožnila uživatelům vybrat prostředky, které jim nepatřily. Velmi zjednodušeně řečeno, chyba v kódu chytrého kontraktu umožnila automatické ověření všech transakcí a jejich opakování ve smyčce.
Proto mohla být tato chyba zneužita velmi široce a především téměř kýmkoli, protože bylo zapotřebí jen velmi málo manipulace.
Tato událost je další připomínkou zvláštního rizika, kterému jsou vystaveny cross-chain protokoly, jež se často podílejí na rozsáhlých hackerských útocích, jejichž důsledky se mechanicky šíří na další subjekty. Zde například tým Evmos blockchain uvedl, že tento hack měl významný dopad na jeho TVL.
S hodnotou přes 190 milionů dolarů je toto narušení pátým největším hackerským útokem v historii kryptoměn, hned po hackerském útoku společnosti Bitmart v hodnotě 196 milionů dolarů z dubna 2021.
