Nomad лишился почти 100% своей ликвидности — $190,7 млн — после того, как сотни адресов скопировали эксплойт, который хакер использовал для кражи 100 WBTC на сумму $2,3 млн.
1 августа токен-мост Nomad пострадал от эксплойта, который позволил нескольким людям слить с моста $190,7 млн.
Первые признаки проблем начались примерно в 9:23 вечера по Гринвичу после того, как хакер использовал мост для вывода 100 WBTC на сумму $2,3 млн.
Еще несколько человек скопировали код первой подозрительной транзакции и изменили адрес, чтобы принять участие в сливе средств.
1/ Nomad только что слили более 150 миллионов долларов в результате одного из самых хаотичных взломов, которые когда-либо видел Web3. Как именно это произошло, и что послужило первопричиной? Позвольте мне провести вас за кулисы pic.twitter.com/Y7Q3fZ7ezm
— samczsun (@samczsun) August 1, 2022
Мост Nomad позволял передавать токены между блокчейнами Ethereum (ETH), Avalanche (AVAX), Evmos (EVMOS), Moonbeam (GLMR) и Milkomeda C1.
На публичных серверах Discord появляются сообщения о том, что случайные люди забирают $3K-$20K с моста Nomad — все, что нужно было сделать, это скопировать первую транзакцию хакера и изменить адрес, затем нажать кнопку отправки через Etherscan. В истинной криптомоде — первое децентрализованное ограбление. https://t.co/jWV9AamBer
— FatMan (@FatManTerra) August 2, 2022
В отличие от других криптоэксплойтов, где только несколько адресов непосредственно связаны со взломом, сотни адресов были ответственны за слив почти всех $190,7 млн, заблокированных в Nomad bridge.
2/ По всей видимости, в этом взломе участвовали несколько кошельков, которые успешно слили средства.
Всего 39 миллионов долларов в USDC были украдены за одну транзакцию, в ходе которой с моста было многократно снято $202 440. pic.twitter.com/ciXfv3Ebpo
— The woke blunt (@Manikumar11111111) August 2, 2022
Странно, но некоторые из транзакций эксплойта имели одинаковое значение. Например, было совершено более 200 транзакций на сумму ровно 202 440,725413 USDC.
С моста было похищено несколько токенов, таких как WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL и C3.
Согласно Oxfoobar, атака произошла из-за плохой операционной стратегии, вызвавшей «плохую инициализацию корня Merkle, которая привела к тому, что каждое сообщение по умолчанию считалось действительным. «
TL;DR — плохая операционная стратегия привела к плохой инициализации корня Merkle, что привело к тому, что каждое сообщение было признано действительным по умолчанию
Не вовремя — команда Nomad несколько месяцев назад привлекла $22 млн. и недавно объявила о значительной поддержке https://t.co/tsPTigF8XV
— foobar (@0xfoobar) August 2, 2022
Команда Nomad подтвердила наличие эксплойта и заявила, что расследует произошедшее.
Мы знаем об инциденте с токен-мостом Nomad. В настоящее время мы проводим расследование и предоставим обновления, когда они у нас появятся.
— Nomad (⤭⛓) (@nomadxyz_) 1 августа 2022
Тем временем Moonbeam перешел в режим технического обслуживания «для расследования инцидента безопасности смарт-контракта, развернутого в сети»
1/ Важное уведомление: Сеть Moonbeam Network перешла в режим обслуживания для расследования инцидента безопасности смарт-контракта, развернутого в сети.
— Moonbeam Network (@MoonbeamNetwork) 1 августа 2022
1/ Ранее сегодня произошел инцидент безопасности, который повлиял на мосты @nomadxyz_ к Лунному лучу. Почти все активы смарт-контракта Nomad в Ethereum Mainnet были слиты. Мы не нашли никаких доказательств того, что недавний инцидент безопасности был связан с кодовой базой Moonbeam.
— Moonbeam Network (@MoonbeamNetwork) August 2, 2022
Peckshield показала, что обнаружила 41 адрес, с которых было похищено около 152 миллионов долларов (80%) украденных средств.
По данным фирмы по безопасности блокчейна, один из кошельков принадлежал хакеру, укравшему 80 миллионов долларов у DeFi платформы Rari Capital и Saddle Finance.
PeckShieldAlert PeckShield обнаружил ~41 адрес, захвативший ~$152M (~80%) в мостовом эксплойте @nomadxyz_, включая ~7 MEV ботов (~$7.1M), @RariCapital Arbitrum эксплойт (~$3.4M), и 6 White Hat (~$8.2M).
~10% этих адресов с именами ENS получили $6,1M pic.twitter.com/UUjk7ZiiKE— PeckShieldAlert (@PeckShieldAlert) August 2, 2022
Великие хакеры спасают часть украденных средств
Хотя все это выглядит как грабеж, имеющаяся информация подтверждает, что некоторые из тех, кто забрал средства с моста, были хакерами «белых хат», пытавшимися предотвратить доступ воров к средствам.
Некоторые из тех, кто вывел средства, подтвердили, что планируют их вернуть.
я возвращаю эти деньги, ФБР, пожалуйста, успокойтесь. нет, я не планировал их украсть, и да, я знаю, что этот адрес засекречен.
.eth
Nomad— .eth (@SpaceWigger) August 2, 2022
Один из них написал:
«Это белый хак. Я планирую вернуть средства. Жду официального сообщения от команды Nomad (пожалуйста, укажите email для связи). Я не менял никаких активов даже после того, как узнал, что USDC может быть заморожен. Перевел USDC, FRAX и токен CQT с других адресов, чтобы консолидировать средства. Я хотел бы спасти больше средств, но это было слишком медленно. «
Другие также назвали себя хакерами whitehat и попросили команду выйти на связь, включая человека, который смог получить $1 млн.
Несколько из тех, кто захватил бридж-фонды, некоторые из них публично выступили и предложили вернуться.
.eth
Эксплуататор Rari Capital
darkfi.eth pic.twitter.com/2adlMl6Pj3— foobar (@0xfoobar) August 2, 2022