Novo hack no mundo das pontes de cadeia cruzada: Nomad sofreu a exploração de uma falha nos seus contratos inteligentes, resultando na drenagem de $190 milhões, ou quase todo o seu valor total bloqueado (TVL). Contudo, algumas pessoas usaram a falha para retirar o máximo possível dos fundos para os proteger, dizendo que estavam prontas para os enviar de volta o mais depressa possível.
Catástrofe para ponte de corrente cruzada Nomad
Uma ruptura maciça foi utilizada durante a noite, resultando na drenagem de mais de $190 milhões de dólares da ponte de cadeia cruzada Nomad, que troca fichas entre Ethereum (ETH), Avalanche (AVAX), Moonbeam (GLMR), Milkomeda C1 e Evmos.
Quase todos os fundos foram drenados da ponte num instante, como demonstra este gráfico a partir dos dados disponíveis na DefiLlama:
Valor total bloqueado (TVL) na ponte Nomad
De acordo com dados da cadeia, a primeira transacção fraudulenta teria permitido a um utilizador da ponte retirar 100 wBTC, que na altura valiam 2,3 milhões de dólares. A falha tornou-se gradualmente conhecida, permitindo a qualquer pessoa retirar a mesma quantia de dinheiro várias vezes devido a uma falha nos contratos inteligentes.
Felizmente, algumas pessoas conseguiram escapar com a retirada de tanto dinheiro quanto possível antes de declararem que tinham agido como um whitehat para proteger os fundos em questão, e que os devolveriam assim que lhes fosse fornecido um endereço de destino fiável, como evidenciado por esta transacção.
Conteúdo da exploração
De acordo com uma post mortem de @samczsun, um investigador da Paradigm, a falha foi o resultado directo de uma actualização dos contratos inteligentes da ponte Nomad.
1/ Nomad acabou de ser drenado por mais de $150M num dos hacks mais caóticos que a Web3 já viu. Como é que isto aconteceu exactamente, e qual foi a causa principal? Permita-me levá-lo aos bastidores pic.twitter.com/Y7Q3fZ7ezm
– samczsun (@samczsun) August 1, 2022
Quando uma ficha é transferida através de uma ponte, é bloqueada a um contrato inteligente antes de ser redistribuída em forma de embrulho.
Neste caso, a falha no contrato inteligente permitiu aos utilizadores retirar fundos que não lhes pertenciam. De um modo muito simplificado, um erro de código no contrato inteligente permitiu que todas as transacções fossem validadas automaticamente e repetidas num loop.
É por isso que esta falha poderia ser explorada muito amplamente e sobretudo por quase todos, uma vez que era necessária muito pouca manipulação.
Este evento é mais um lembrete da exposição particular dos protocolos de cadeias cruzadas, que estão frequentemente envolvidos em hacks de grande escala, cujas repercussões se propagam mecanicamente a outros actores. Aqui, por exemplo, a equipa da Evmos blockchain indicou que este hack tinha tido um impacto significativo na sua TVL.
Com mais de $190 milhões, esta brecha é o 5º maior hack na história da criptocracia, logo atrás do hack de $196 milhões da Bitmart em Abril de 2021.
