Nieuwe hack in de wereld van cross-chain bruggen: Nomad heeft te lijden gehad onder de uitbuiting van een fout in zijn slimme contracten, wat resulteerde in het wegsluizen van $ 190 miljoen, of bijna al zijn totale vergrendelde waarde (TVL). Sommigen maakten echter gebruik van de tekortkoming om zoveel mogelijk geld op te nemen om het te beschermen, en zeiden dat ze klaar waren om het zo snel mogelijk terug te sturen.
Catastrofe voor Nomad brug over de keten
Er is vannacht een massale inbreuk gepleegd, waardoor meer dan $190 miljoen is weggesluisd van de Nomad cross-chain bridge, die tokens uitwisselt tussen Ethereum (ETH), Avalanche (AVAX), Moonbeam (GLMR), Milkomeda C1 en Evmos.
Bijna al het geld werd in een oogwenk van de brug weggesluisd, zoals deze grafiek uit de gegevens van DefiLlama aantoont:
Totale vergrendelde waarde (TVL) op de Nomad-brug
Volgens on-chain gegevens, zou de eerste frauduleuze transactie een bridge gebruiker in staat hebben gesteld om 100 wBTC op te nemen, wat op dat moment $2.3 miljoen waard was. De fout werd geleidelijk bekend, waardoor iedereen hetzelfde geldbedrag meerdere keren kon opnemen door een fout in de slimme contracten.
Gelukkig konden sommige mensen wegkomen met het opnemen van zoveel mogelijk geld voordat ze verklaarden dat ze hadden gehandeld als een whitehat om de fondsen in kwestie te beschermen, en dat ze deze zouden terugstorten zodra een betrouwbaar bestemmingsadres werd verstrekt, zoals blijkt uit deze transactie.
Achtergrond van de exploit
Volgens een post mortem van @samczsun, een onderzoeker bij Paradigm, was het lek een direct gevolg van een update van de Nomad bridge smart contracts.
1/ Nomad is net voor meer dan $150M leeggehaald in een van de meest chaotische hacks die Web3 ooit heeft gezien. Hoe is dit precies gebeurd, en wat was de hoofdoorzaak? Sta me toe u mee te nemen achter de schermen pic.twitter.com/Y7Q3fZ7ezm
– samczsun (@samczsun) Augustus 1, 2022
Wanneer een token wordt overgedragen via een bridge, wordt het vergrendeld in een smart contract voordat het opnieuw wordt gedistribueerd in verpakte vorm.
In dit geval zorgde de fout in het slimme contract ervoor dat gebruikers geld konden opnemen dat niet van hen was. Op een zeer vereenvoudigde manier zorgde een codefout in het slimme contract ervoor dat alle transacties automatisch werden gevalideerd en in een lus werden herhaald.
Daarom kon dit euvel op zeer grote schaal en vooral door bijna iedereen worden uitgebuit, aangezien er zeer weinig manipulatie nodig was.
Deze gebeurtenis herinnert opnieuw aan de bijzondere blootstelling van “cross-chain”-protocollen, die vaak betrokken zijn bij grootschalige hacks, waarvan de repercussies zich mechanisch verspreiden naar andere actoren. Hier gaf het blockchainteam van Evmos bijvoorbeeld aan dat deze hack een aanzienlijke impact had gehad op haar TVL.
Met meer dan $190 miljoen is deze inbreuk de 5e grootste hack in de geschiedenis van cryptocurrency, net achter de $196 miljoen hack van Bitmart in april 2021.
