Nowy hack w świecie mostów krzyżowych: Nomad ucierpiał z powodu wykorzystania luki w swoich inteligentnych kontraktach, co spowodowało wydrenowanie 190 milionów dolarów, czyli prawie całej jego całkowitej zablokowanej wartości (TVL). Jednak niektórzy wykorzystali wadę, aby wycofać jak najwięcej środków w celu ich ochrony, mówiąc, że są gotowi odesłać je z powrotem tak szybko, jak to możliwe.
Katastrofa dla mostu poprzecznego Nomadów
W nocy wykorzystano potężne naruszenie, w wyniku którego wydrenowano ponad 190 milionów dolarów z mostu krzyżowego Nomad, który wymienia tokeny pomiędzy Ethereum (ETH), Avalanche (AVAX), Moonbeam (GLMR), Milkomeda C1 i Evmos.
Niemal wszystkie środki zostały błyskawicznie wydrenowane z mostu, co pokazuje ten wykres z danych dostępnych na DefiLlama:
Całkowita wartość zablokowana (TVL) na moście Nomada
Według danych on-chain, pierwsza oszukańcza transakcja pozwoliłaby użytkownikowi mostu wypłacić 100 wBTC, co w tamtym czasie było warte 2,3 miliona dolarów. Wada stopniowo stała się znana, pozwalając każdemu na wielokrotne wypłacanie tej samej kwoty pieniędzy z powodu wady w inteligentnych kontraktach.
Na szczęście niektórym udało się uciec od wypłacenia jak największej ilości pieniędzy, zanim zadeklarowali, że działali jako whitehat w celu ochrony danych środków i że zwrócą je, gdy tylko zostanie podany wiarygodny adres docelowy, czego dowodem jest ta transakcja.
Background to the exploit
Według post mortem przeprowadzonego przez @samczsun, badacza z firmy Paradigm, dziura była bezpośrednim skutkiem aktualizacji inteligentnych kontraktów Nomad bridge.
1/ Nomad właśnie został wydrenowany na ponad $150M w jednym z najbardziej chaotycznych hacków, jakie widziało Web3. Jak dokładnie do tego doszło i co było tego przyczyną? Pozwólcie, że zabiorę Was za kulisy pic.twitter.com/Y7Q3fZ7ezm
– samczsun (@samczsun) 1 sierpnia 2022
Kiedy token jest przekazywany za pośrednictwem mostu, jest on zablokowany w inteligentnym kontrakcie przed ponowną dystrybucją w formie opakowanej.
W tym przypadku luka w inteligentnym kontrakcie pozwalała użytkownikom na wypłacanie środków, które nie należały do nich. W bardzo dużym uproszczeniu, błąd w kodzie inteligentnego kontraktu pozwalał na automatyczne zatwierdzanie wszystkich transakcji i powtarzanie ich w pętli.
Z tego powodu ta luka mogła być wykorzystana bardzo szeroko i przede wszystkim przez niemal każdego, gdyż wymagana była bardzo mała manipulacja.
To wydarzenie jest kolejnym przypomnieniem o szczególnym narażeniu protokołów cross-chain, które są często zaangażowane w hacki na dużą skalę, których reperkusje rozprzestrzeniają się mechanicznie na inne podmioty. Tutaj na przykład zespół Evmos blockchain wskazał, że ten hack znacząco wpłynął na jego TVL.
Przy ponad 190 milionach dolarów, naruszenie to jest 5. największym włamaniem w historii kryptowalut, tuż za włamaniem Bitmarta o wartości 196 milionów dolarów w kwietniu 2021 roku.
