Nuovo attacco nel mondo dei ponti cross-chain: Nomad ha subito lo sfruttamento di una falla nei suoi contratti intelligenti, che ha portato al prosciugamento di 190 milioni di dollari, ovvero quasi tutto il suo valore totale bloccato (TVL). Tuttavia, alcune persone hanno sfruttato la falla per ritirare il più possibile i fondi per proteggerli, dicendosi pronte a rispedirli al più presto.
Catastrofe per il ponte trasversale Nomad
Durante la notte è stata utilizzata una massiccia violazione che ha portato al prosciugamento di oltre 190 milioni di dollari dal ponte cross-chain Nomad, che scambia token tra Ethereum (ETH), Avalanche (AVAX), Moonbeam (GLMR), Milkomeda C1 ed Evmos.
Quasi tutti i fondi sono stati prosciugati dal ponte in un attimo, come dimostra questo grafico tratto dai dati disponibili su DefiLlama:
Valore totale bloccato (TVL) sul ponte Nomad
Secondo i dati della catena, la prima transazione fraudolenta avrebbe permesso a un utente del ponte di prelevare 100 wBTC, che all’epoca valevano 2,3 milioni di dollari. La falla è diventata gradualmente nota, consentendo a chiunque di prelevare la stessa somma di denaro più volte a causa di una falla negli smart contract.
Fortunatamente, alcune persone sono state in grado di farla franca ritirando quanto più denaro possibile prima di dichiarare di aver agito come whitehat per proteggere i fondi in questione e che li avrebbero restituiti non appena fosse stato fornito un indirizzo di destinazione affidabile, come dimostra questa transazione.
Background dell’exploit
Secondo un post mortem di @samczsun, un ricercatore di Paradigm, la falla era il risultato diretto di un aggiornamento dei contratti smart Nomad bridge.
1/ Nomad è stata appena prosciugata per oltre 150 milioni di dollari in uno degli hack più caotici che Web3 abbia mai visto. Come è successo esattamente e qual è stata la causa principale? Permettetemi di portarvi dietro le quinte pic.twitter.com/Y7Q3fZ7ezm
– samczsun (@samczsun) August 1, 2022
Quando un token viene trasferito tramite un ponte, viene bloccato in uno smart contract prima di essere ridistribuito in forma impacchettata.
In questo caso, la falla nello smart contract ha permesso agli utenti di prelevare fondi che non appartenevano loro. In modo molto semplificato, un errore di codice nello smart contract ha permesso che tutte le transazioni venissero convalidate automaticamente e ripetute in un ciclo.
Per questo motivo questa falla poteva essere sfruttata in modo molto ampio e soprattutto da quasi tutti, poiché era necessaria una manipolazione minima.
Questo evento ricorda ancora una volta la particolare esposizione dei protocolli cross-chain, spesso coinvolti in hack su larga scala, le cui ripercussioni si propagano meccanicamente ad altri attori. In questo caso, ad esempio, il team di Evmos blockchain ha indicato che questo hack ha avuto un impatto significativo sul suo TVL.
Con oltre 190 milioni di dollari, questa violazione è la quinta più grande nella storia delle criptovalute, subito dopo quella da 196 milioni di dollari di Bitmart nell’aprile 2021.
