Nomad został wydrenowany z niemal 100% swojej płynności – 190,7 mln dolarów – po tym jak setki adresów skopiowały exploit, którego użył haker do kradzieży 100 WBTC o wartości 2,3 mln dolarów.
Nomad token bridge ucierpiał 1 sierpnia z powodu exploita, który pozwolił kilku osobom opróżnić most z 190,7 mln dolarów.
Pierwsze oznaki kłopotów zaczęły się około godziny 21:23 UTC po tym, jak haker wykorzystał most do wycofania 100 WBTC o wartości 2,3 miliona dolarów.
Kilka innych osób skopiowało kod pierwszej podejrzanej transakcji i zmieniło adres, aby uczestniczyć w drenowaniu środków.
1/ Nomad właśnie został wydrenowany na ponad $150M w jednym z najbardziej chaotycznych hacków, jakie Web3 kiedykolwiek widział. Jak dokładnie do tego doszło i co było tego przyczyną? Pozwólcie, że zabiorę was za kulisy pic.twitter.com/Y7Q3fZ7ezm
– samczsun (@samczsun) August 1, 2022
Most Nomada umożliwiał transfer tokenów pomiędzy blockchainami Ethereum (ETH), Avalanche (AVAX), Evmos (EVMOS), Moonbeam (GLMR) i Milkomeda C1.
Wiadomości wyskakujące na publicznych serwerach Discord o przypadkowych osobach chwytających $3K-$20K z mostu Nomad – wystarczyło skopiować transakcję pierwszego hakera i zmienić adres, a następnie uderzyć w wysyłkę przez Etherscan. W prawdziwej kryptowalutowej modzie – pierwszy zdecentralizowany rabunek. https://t.co/jWV9AamBer
– FatMan (@FatManTerra) 2 sierpnia 2022
W przeciwieństwie do innych exploitów kryptowalutowych, gdzie tylko kilka adresów jest bezpośrednio powiązanych z włamaniem, setki adresów były odpowiedzialne za wydrenowanie mostu Nomad z prawie wszystkich zamkniętych w nim 190,7 milionów dolarów.
2/ Najwyraźniej w tym hacku brało udział wiele portfeli, które skutecznie drenują środki.
W sumie 39 milionów dolarów w USDC zostało skradzione w jednej transakcji wypłacając 202 440 dolarów wielokrotnie z mostka. pic.twitter.com/ciXfv3Ebpo
– The woke blunt (@Manikumar1111) Sierpień 2, 2022
Bizarrely, niektóre transakcje exploitów miały tę samą wartość. Na przykład było ponad 200 transakcji o wartości dokładnie 202 440,725413 USDC.
Z mostu skradziono kilka tokenów takich jak WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL i C3.
Według Oxfoobar, atak nastąpił z powodu złej strategii operacyjnej powodującej „złą inicjalizację korzenia Merkle, która doprowadziła do tego, że każda wiadomość została domyślnie udowodniona jako ważna. „
TL;DR – zła strategia operacyjna doprowadziła do złej inicjalizacji korzenia merkle, co doprowadziło do tego, że każda wiadomość została domyślnie uznana za ważną.
Nieodpowiedni moment, ponieważ zespół Nomad zebrał rundę 22 milionów dolarów kilka miesięcy temu, a niedawno ogłosił znaczące wsparcie https://t.co/tsPTigF8XV
– foobar (@0xfoobar) August 2, 2022
Zespół Nomad potwierdził exploit i twierdził, że bada wydarzenia.
Jesteśmy świadomi incydentu związanego z mostkiem tokenowym Nomad. Obecnie prowadzimy dochodzenie i będziemy dostarczać aktualizacje, gdy będziemy je mieć.
– Nomad (⤭⛓) (@nomadxyz_) 1 sierpnia 2022
W międzyczasie Moonbeam przeszedł w tryb konserwacji „aby zbadać incydent bezpieczeństwa z inteligentnym kontraktem wdrożonym w sieci. „
1/ Ważna informacja: Sieć Moonbeam przeszła w tryb konserwacji w celu zbadania incydentu bezpieczeństwa z inteligentnym kontraktem wdrożonym w sieci.
– Moonbeam Network (@MoonbeamNetwork) 1 sierpnia 2022
1/ Wcześniej dzisiaj doszło do incydentu bezpieczeństwa, który wpłynął na mosty @nomadxyz_ do Moonbeam. Prawie wszystkie aktywa w inteligentnym kontrakcie Nomad na Ethereum Mainnet zostały wydrenowane. Nie znaleźliśmy dowodów na to, że ostatni incydent bezpieczeństwa był związany z bazą kodową Moonbeam.
– Moonbeam Network (@MoonbeamNetwork) 2 sierpnia 2022
Peckshield ujawnił, że wykrył 41 adresów, które chwyciły w przybliżeniu 152 miliony dolarów (80%) skradzionych funduszy.
Według firmy zajmującej się bezpieczeństwem blockchain, jeden z portfeli należał do hakera, który ukradł 80 milionów dolarów z platformy DeFi Rari Capital i Saddle Finance.
PeckShieldAlert PeckShield wykrył ~41 adresów chwytających ~$152M (~80%) w exploit mostowy @nomadxyz_, w tym ~7 MEV Bots (~$7,1M), @RariCapital exploit Arbitrum (~$3,4M), oraz 6 White Hat (~$8,2M).
~10% z tych adresów z nazwami ENS dostało $6.1M pic.twitter.com/UUjk7ZiiKE– PeckShieldAlert (@PeckShieldAlert) 2 sierpnia 2022
Whitehat hackers save some of the stolen funds
Chociaż cała sprawa wydaje się być grabieżą free for all, dostępne informacje potwierdzają, że część osób, które pobrały fundusze z mostu, to whitehatowi hakerzy starający się uniemożliwić złodziejom dostęp do środków.
Niektórzy, którzy spuszczali fundusze, potwierdzili, że planują je zwrócić.
im returning this money, fbi pls calm down. no i didnt plan to steal it and yes i know this address is doxed
.eth
Nomad– .eth (@SpaceWigger) Sierpień 2, 2022
Jeden z nich napisał:
„To jest whitehack. Planuję zwrócić środki. Czekam na oficjalny komunikat od zespołu Nomad (proszę o podanie id mailowego do komunikacji). Nie zamieniłem żadnych aktywów, nawet po tym jak wiedziałem, że USDC może być zamrożone. Przeniosłem USDC, FRAX i CQT token z innych adresów w celu konsolidacji. Chciałbym móc uratować więcej środków, ale było to zbyt powolne. „
Inni również zidentyfikowali się jako hakerzy whitehat i poprosili zespół o kontakt, w tym ktoś, kto był w stanie uzyskać 1 milion dolarów.
Kilka z tych, którzy złapali fundusze pomostowe, niektórzy, którzy publicznie zgłosili się i zaoferowali zwrot
.eth
Rari Capital Exploiter
darkfi.eth pic.twitter.com/2adlMl6Pj3– foobar (@0xfoobar) 2 sierpnia 2022