Nomad fue drenado de casi el 100% de su liquidez – 190,7 millones de dólares – después de que cientos de direcciones copiaran el exploit que un hacker utilizó para robar 100 WBTCs por valor de 2,3 millones de dólares.
El puente de tokens de Nomad sufrió un exploit el 1 de agosto que permitió a varias personas vaciar el puente de 190,7 millones de dólares.
La primera señal de problemas comenzó alrededor de las 9:23 pm UTC después de que un hacker explotara el puente para retirar 100 WBTC por valor de 2,3 millones de dólares.
Varios otros copiaron el código de la primera transacción sospechosa y cambiaron la dirección para participar en el drenaje de los fondos.
1/ Nomad acaba de ser vaciado por más de 150 millones de dólares en uno de los hackeos más caóticos que ha visto Web3. ¿Cómo ha ocurrido esto exactamente y cuál ha sido la causa principal? Permítanme llevarles entre bastidores pic.twitter.com/Y7Q3fZ7ezm
– samczsun (@samczsun) August 1, 2022
El puente de Nomad permitía la transferencia de tokens entre las blockchains de Ethereum (ETH), Avalanche (AVAX), Evmos (EVMOS), Moonbeam (GLMR) y Milkomeda C1.
Mensajes apareciendo en los servidores públicos de Discord de gente al azar agarrando $3K-$20K del puente de Nomad – todo lo que uno tenía que hacer era copiar la primera transacción del hacker y cambiar la dirección, luego pulsar enviar a través de Etherscan. Al más puro estilo criptográfico, el primer robo descentralizado. https://t.co/jWV9AamBer
– FatMan (@FatManTerra) Agosto 2, 2022
A diferencia de otros exploits criptográficos en los que sólo unas pocas direcciones están directamente relacionadas con el hackeo, cientos de direcciones fueron las responsables de vaciar el puente Nomad de casi todos los 190,7 millones de dólares encerrados en él.
2/ Aparentemente hay múltiples billeteras involucradas en este hackeo y drenaron exitosamente los fondos.
En total se han robado 39 millones de dólares en USDC en una sola transacción retirando 202.440 dólares múltiples veces del puente. pic.twitter.com/ciXfv3Ebpo
– The woke blunt (@Manikumar111111) August 2, 2022
Extrañamente, algunas de las transacciones del exploit tenían el mismo valor. Por ejemplo, hubo más de 200 transacciones de exactamente 202.440,725413 USDC.
Varios tokens como WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL y C3 fueron robados del puente.
Según Oxfoobar, el ataque se produjo debido a una mala estrategia operativa que provocó «una mala inicialización de la raíz Merkle, lo que hizo que todos los mensajes resultaran válidos por defecto».
TL;DR – una mala estrategia operativa provocó una mala inicialización de la raíz Merkle que llevó a que todos los mensajes fueran válidos por defecto
Un momento difícil, ya que el equipo de Nomad recaudó una ronda de 22 millones de dólares hace varios meses y recientemente anunció un importante respaldo https://t.co/tsPTigF8XV
– foobar (@0xfoobar) August 2, 2022
El equipo de Nomad confirmó el exploit y afirmó estar investigando los hechos.
Estamos al tanto del incidente relacionado con el puente de tokens de Nomad. Actualmente estamos investigando y proporcionaremos actualizaciones cuando las tengamos.
– Nomad (⤭⛓) (@nomadxyz_) August 1, 2022
Mientras tanto, Moonbeam entró en modo de mantenimiento «para investigar un incidente de seguridad con un contrato inteligente desplegado en la red».
1/ Aviso importante: La red Moonbeam ha entrado en modo de mantenimiento para investigar un incidente de seguridad con un contrato inteligente desplegado en la red.
– Moonbeam Network (@MoonbeamNetwork) August 1, 2022
1/ Hoy mismo se ha producido un incidente de seguridad que ha afectado a los puentes de @nomadxyz_ a Moonbeam. Casi todos los activos del contrato inteligente de Ethereum Mainnet de Nomad han sido drenados. No hemos encontrado pruebas de que el reciente incidente de seguridad estuviera relacionado con la base de código de Moonbeam.
– Moonbeam Network (@MoonbeamNetwork) August 2, 2022
Peckshield reveló que detectó 41 direcciones que acapararon aproximadamente 152 millones de dólares (80%) de los fondos robados.
Según la firma de seguridad blockchain, una de las carteras pertenecía al hacker que robó 80 millones de dólares de la plataforma DeFi Rari Capital y Saddle Finance.
PeckShieldAlert PeckShield ha detectado ~41 direcciones que se apoderaron de ~152M$ (~80%) en el exploit del puente @nomadxyz_, incluyendo ~7 MEV Bots (~$7,1M), @RariCapital Arbitrum exploiter (~$3,4M), y 6 White Hat (~$8,2M).
~10% de estas direcciones con nombres de ENS obteniendo 6,1M$ pic.twitter.com/UUjk7ZiiKE– PeckShieldAlert (@PeckShieldAlert) August 2, 2022
Los hackers de sombrero blanco salvan parte de los fondos robados
Aunque todo parece un saqueo gratuito, la información disponible confirma que algunos de los que se llevaron los fondos del puente eran hackers de sombrero blanco que pretendían evitar que los ladrones accedieran a los fondos.
Algunos de los que drenaron los fondos han confirmado que piensan devolverlos.
im returning this money, fbi pls calm down. no i didnt plan to steal it and yes i know this address is doxed
.eth
Nomad– .eth (@SpaceWigger) August 2, 2022
Una de ellas escribió:
«Esto es un chantaje. Pienso devolver los fondos. A la espera de la comunicación oficial del equipo de Nomad (por favor, facilite un correo electrónico para la comunicación). No he intercambiado ningún activo incluso después de saber que el USDC puede ser congelado. He transferido USDC, FRAX y CQT token desde otras direcciones para consolidar. Me gustaría poder rescatar más fondos pero ha sido demasiado lento».
Otros también se han identificado como hackers de sombrero blanco y han pedido al equipo que se ponga en contacto, incluyendo a alguien que pudo conseguir 1 millón de dólares.
Un par de los que se apoderaron de los fondos del puente, algunos de los cuales se han presentado públicamente y se han ofrecido a devolver
.eth
Rari Capital Explotación
darkfi.eth pic.twitter.com/2adlMl6Pj3– foobar (@0xfoobar) August 2, 2022