I de tidlige timer den 2. august udsendte Nomad bridge en advarsel om, at den var opmærksom på en igangværende udnyttelse. I de følgende timer blev hele protokollens midler på mere end 190 millioner dollars drænet.
Crypto community-udvikler og hvid hat 'samczsun' nedbrød hændelseskæden og forklarede, hvad der skete. Han betegnede angrebet som "et af de mest kaotiske hacks, som Web3 nogensinde har set."
1/ Nomad er lige blevet drænet for over $150 millioner i et af de mest kaotiske hacks, som Web3 nogensinde har set. Hvordan skete det præcist, og hvad var årsagen? Tillad mig at tage dig med bag kulisserne? pic.twitter.com/Y7Q3fZ7ezm
- samczsun (@samczsun) August 1, 2022
Nomad er en token-bro til krydskæde-overførsler mellem Ethereum, Avalanche, Milkomeda og Moonbeam.
Nomademidler drænet
Forskere delte et tweet i ETHSecurity Telegram-kanalen, der viser flere transaktioner af midler, der forlader broen. Ved første øjekast så det ud til at være en fejlkonfiguration i token decimaler, men samczsun opdagede:
"Men efter nogle smertefulde manuel gravearbejde på Moonbeam-netværket, bekræftede jeg, at mens Moonbeam-transaktionen byggede bro over 0.01 WBTC, slog Ethereum-transaktionen på en eller anden måde bro med 100 WBTC."
Det, der gør denne udnyttelse anderledes, er, at transaktionerne ikke blev 'bevist' og udført direkte. "At være i stand til at behandle en besked uden at bevise den først er ekstremt ikke godt," sagde samczsun. Koderen gravede lidt mere og fandt en fatal fejl i 'Replica'-smartkontrakten, der blev initialiseret under en rutinemæssig Nomad-opgradering.
Han tilføjede, at dette var kaotisk, fordi kryptotyvene ikke havde brug for nogen teknisk viden. De skulle bare finde en transaktion, der virkede, erstatte måladressen med deres egen og genudsende den.
"En rutineopgradering markerede nul-hashen som en gyldig rod, hvilket havde den effekt, at beskeder blev forfalsket på Nomad. Angribere misbrugte dette til at kopiere/indsætte transaktioner og tømte hurtigt broen i en vanvittig fri for alle."
TVL til nul
Nomad har endda opdaget svigagtige adresser, der forsøger at stjæle penge tilbage til broen.
Vi er opmærksomme på efterlignere, der udgiver sig for at være nomade og opgiver falske adresser for at indsamle penge. Vi giver endnu ikke instruktioner om at returnere bridge-midler. Se bort fra meddelelser fra alle andre kanaler end Nomads officielle kanal: @nomadxyz_
— Nomade (⤭⛓?) (@nomadxyz_) August 2, 2022
Ifølge Defi Lama, Nomads samlede værdi låst er styrtet ned fra $190.38 millioner til $5,336 i løbet af de seneste par timer.
Nomad er det seneste token bridge-angreb i år efter de højprofilerede bedrifter fra Ronin Bridge, Wormhole og Harmoni.
Binance Gratis $100 (Eksklusivt): Brug dette link at registrere og modtage $100 gratis og 10% rabat på gebyrer på Binance Futures første måned (vilkår).
PrimeXBT Særtilbud: Brug dette link for at registrere og indtaste POTATO50-koden for at modtage op til $7,000 på dine indbetalinger.
Kilde: https://cryptopotato.com/nomad-bridge-suffers-190m-loss-in-chaotic-copy-paste-attack/