Nomad Bridge понес убытки в размере 190 миллионов долларов в результате хаотической атаки Copy-Paste

Рано утром 2 августа Nomad bridge опубликовал предупреждение о том, что ему известно о продолжающейся уязвимости. В последующие часы средства всего протокола в размере более 190 млн долларов США были истощены.

Разработчик криптосообщества и белая шляпа samczsun разорвали цепочку событий, объяснив, что произошло. Он назвал атаку «одним из самых хаотичных взломов, которые когда-либо видел Web3».

1/ Nomad только что потерял более 150 миллионов долларов в результате одного из самых хаотичных взломов, которые когда-либо видел Web3. Как именно это произошло и в чем была основная причина? Позвольте мне провести вас за кулисы pic.twitter.com/Y7Q3fZ7ezm

— samczsun (@samczsun) 1 августа 2022 г.

Nomad — это токен-мост для межсетевых переводов между Ethereum, Avalanche, Milkomeda и Moonbeam.

Средства кочевников истощены

Исследователи поделились твитом в Telegram-канале ETHSecurity, в котором показано несколько транзакций средств, покидающих мост. На первый взгляд это выглядело как неправильная конфигурация десятичных знаков токена, но samczsun обнаружил:

«Однако после мучительных ручных раскопок в сети Moonbeam я подтвердил, что хотя транзакция Moonbeam действительно перекинула 0,01 WBTC, транзакция Ethereum каким-то образом перекинулась на 100 WBTC».

Этот эксплойт отличается тем, что транзакции не были «подтверждены» и выполнялись напрямую. «Возможность обработать сообщение, не доказав его сначала, крайне нехорошо», — сказал samczsun. Кодировщик еще немного покопался и обнаружил фатальную ошибку в смарт-контракте «Реплика», инициализированном во время обычного обновления Nomad.

Он добавил, что это было хаотично, потому что криптоворам не нужны были какие-либо технические знания. Им просто нужно было найти транзакцию, которая сработала, заменить целевой адрес своим собственным и ретранслировать ее.

«Обычное обновление пометило нулевой хэш как действительный корень, что позволило подделать сообщения в Nomad. Злоумышленники воспользовались этим для копирования/вставки транзакций и быстро опустошили мост в бешеном общении»,

ТВЛ до нуля

Компания Nomad даже обнаружила мошеннические адреса, пытающиеся украсть средства, возвращенные на мост.

Нам известно о лицах, выдающих себя за кочевников и предоставляющих мошеннические адреса для сбора средств. Мы еще не предоставляем инструкции по возврату промежуточных средств. Игнорируйте сообщения со всех каналов, кроме официального канала Nomad: @nomadxyz_

— Кочевник (⤭) (@nomadxyz_) 2 августа 2022 г.

По данным DefiLlama, за последние несколько часов общая заблокированная стоимость Nomad упала со 190,38 млн долларов до 5 336 долларов США.

Nomad — это последняя атака на токен-мост в этом году после громких эксплойтов Ronin Bridge, Wormhole и Harmony.