クロスチェーンブリッジの世界で新たなハッキング:Nomadは、スマートコントラクトの欠陥を悪用され、その総ロック値(TVL)のほぼ全てである1億9000万ドルを流出する被害を受けました。しかし、一部の人はこの欠陥を利用して、できるだけ多くの資金を引き出し、できるだけ早く送り返す用意があると言って、資金を保護したのです
。
ノマドクロスチェーン橋の大惨事
。
一晩で大規模な侵入が行われ、イーサリアム(ETH)、アバランチ(AVAX)、ムーンビーム(GLMR)、ミルクメダC1、エブモスの間でトークンを交換するノマドのクロスチェーンブリッジから1億9000万ドル以上流出した。
DefiLlamaで公開されているデータからのこのチャートが示すように、ほぼすべての資金があっという間に橋から流出した:
。
Total value locked (TVL) on Nomad bridge
オンチェーンデータによると、最初の不正取引では、ブリッジユーザーが100wBTCを引き出すことができ、これは当時230万ドルの価値がありました。その欠陥は徐々に知られるようになり、スマートコントラクトの欠陥により、誰でも同じ金額を何度も引き出すことができるようになったのです。
幸いなことに、この取引で証明されたように、問題の資金を保護するためにホワイトハットとして行動し、信頼できる宛先住所が提供されたらすぐに返却すると宣言する前に、できるだけ多くのお金を引き出して逃げ出すことができた人もいました
。
エクスプロイトの背景
。
Paradigmの研究者である@samczsunによる検死報告によると、欠陥はNomad bridgeスマートコントラクトの更新が直接の原因でした。
1/ NomadはWeb3が見た中で最も混乱したハッキングの一つで1億5千万ドル以上を流出させました。具体的にどのような経緯で、どのような根本原因があったのでしょうか。舞台裏をご案内させてくださいpic.twitter.com/Y7Q3fZ7ezm
– samczsun (@samczsun) August 1, 2022
..
トークンがブリッジ経由で転送されると、ラップ形式で再分配される前にスマートコントラクトにロックされます。
このケースでは、スマートコントラクトの欠陥により、ユーザーは自分のものではない資金を引き出すことができました。非常に単純化すると、スマートコントラクトのコードエラーによって、すべての取引が自動的に検証され、ループで繰り返されるようになったのです。
そのため、この欠陥は非常に広く、何よりもほとんど操作が必要ないため、誰でも悪用することができたのです。
今回の事件は、大規模なハッキングに巻き込まれ、その影響が機械的に他のアクターに波及することが多い、クロスチェーンプロトコルの特殊性を改めて認識させるものです。ここで、例えば、Evmosのブロックチェーンチームは、このハッキングが同社のTVLに大きな影響を与えたと指摘した。
1億9000万ドルを超える今回の侵害は、2021年4月にビットマートが行った1億9600万ドルのハッキングに次ぐ、暗号通貨史上5番目の規模です。
..
