Новый взлом в мире межцепочечных мостов: Nomad пострадал от эксплуатации изъяна в своих смарт-контрактах, что привело к сливу 190 миллионов долларов, или почти всей его общей заблокированной стоимости (TVL). Однако некоторые люди использовали этот недостаток, чтобы снять как можно больше средств для их защиты, заявив, что готовы отправить их обратно как можно скорее.
Катастрофа для моста «Номад «
Ночью была использована масштабная брешь, в результате которой из межцепочечного моста Nomad, осуществляющего обмен токенами между Ethereum (ETH), Avalanche (AVAX), Moonbeam (GLMR), Milkomeda C1 и Evmos, было слито более 190 миллионов долларов.
Почти все средства были выкачаны из моста в мгновение ока, как показывает этот график из данных, доступных на DefiLlama:
Total value locked (TVL) on the Nomad bridge
Согласно данным по цепочке, первая мошенническая транзакция позволила бы пользователю моста вывести 100 wBTC, что на тот момент стоило 2,3 миллиона долларов. Недостаток постепенно становился известным, позволяя любому человеку снимать одну и ту же сумму денег несколько раз из-за изъяна в смарт-контрактах.
К счастью, некоторым людям удавалось вывести как можно больше денег, прежде чем они заявляли, что действовали как whitehat, чтобы защитить данные средства, и что они вернут их, как только будет указан надежный адрес назначения, о чем свидетельствует данная транзакция.
Предыстория эксплойта
По словам @samczsun, исследователя из Paradigm, дефект был прямым результатом обновления смарт-контрактов Nomad bridge.
1/ Nomad только что слили более $150M в ходе одного из самых хаотичных взломов, которые когда-либо видел Web3. Как именно это произошло и в чем причина? Позвольте мне провести вас за кулисы pic.twitter.com/Y7Q3fZ7ezm
— samczsun (@samczsun) August 1, 2022
Когда токен передается через мост, он блокируется в смарт-контракте, прежде чем перераспределяется в обернутом виде.
В данном случае недостаток в смарт-контракте позволял пользователям выводить средства, которые им не принадлежали. В очень упрощенном виде ошибка в коде смарт-контракта позволила автоматически проверить все транзакции и повторить их в цикле.
Именно поэтому данный недостаток мог быть использован очень широко и, прежде всего, практически любым человеком, поскольку для этого требовалось совсем немного манипуляций.
Это событие стало еще одним напоминанием об особой уязвимости межцепочечных протоколов, которые часто участвуют в масштабных взломах, последствия которых механически распространяются на других участников. Так, например, команда блокчейн-компании Evmos указала, что этот взлом существенно повлиял на ее TVL.
Этот взлом на сумму более $190 млн. является 5-м по величине в истории криптовалют, сразу после взлома Bitmart на сумму $196 млн. в апреле 2021 г.
