У першыя гадзіны 2 жніўня Nomad bridge апублікаваў папярэджанне аб тым, што яму вядома аб эксплойце, які працягваецца. У наступныя гадзіны ўсе сродкі пратакола на суму больш за 190 мільёнаў долараў былі зліты.
Распрацоўшчык крыптасупольнасці і белы капялюш «samczsun» разбіў ланцуг падзей, патлумачыўшы, што адбылося. Ён назваў атаку «адным з самых хаатычных узломаў, якія калі-небудзь бачыў Web3».
1/ Nomad толькі што быў асушаны больш чым на 150 мільёнаў долараў у выніку аднаго з самых хаатычных узломаў, якія калі-небудзь бачыў Web3. Як менавіта гэта адбылося і што стала першапрычынай? Дазвольце правесці вас за кулісы? pic.twitter.com/Y7Q3fZ7ezm
- samczsun (@samczsun) Жнівень 1, 2022
Nomad - гэта сімвалічны мост для міжланцужных перадач Эфириума, Лавіна, Мілкамеда і Месяцовы прамень.
Сродкі качэўнікаў асушаны
Даследчыкі падзяліліся твітам у тэлеграм-канале ETHSecurity, які паказвае некалькі транзакцый сродкаў, якія пакідаюць мост. На першы погляд гэта здавалася няправільнай канфігурацыяй дзесятковых знакаў, але samczsun выявіў:
«Аднак пасля некаторага пакутлівага ручнога капання ў сетцы Moonbeam я пацвердзіў, што ў той час як транзакцыя Moonbeam перакінула 0.01 WBTC, нейкім чынам транзакцыя Ethereum перакрыла 100 WBTC».
Гэты эксплойт адрозніваецца тым, што транзакцыі не былі «даказаны» і выконваліся непасрэдна. «Магчымасць апрацаваць паведамленне без папярэдняга пацверджання - гэта надзвычай дрэнна», - сказаў Самчун. Кадэр правёў дадатковыя даследаванні і знайшоў фатальны недахоп у смарт-кантракце «Рэпліка», ініцыялізаваным падчас звычайнага абнаўлення Nomad.
Ён дадаў, што гэта хаатычна, таму што злодзеям крыпты не патрэбныя тэхнічныя веды. Ім проста трэба было знайсці транзакцыю, якая спрацавала, замяніць мэтавы адрас сваім уласным і рэтрансляваць яго.
«Звычайнае абнаўленне пазначыла нулявы хэш як сапраўдны корань, што дазволіла падробіць паведамленні на Nomad. Зламыснікі злоўжывалі гэтым, каб скапіяваць/уставіць транзакцыі, і хутка асушылі мост у вар'яцкім рэжыме бясплатнасці»,
TVL да нуля
Nomad нават выявіў ашуканскія адрасы, якія спрабуюць скрасці сродкі, вернутыя на мост.
Нам вядома аб асобах, якія выдаюцца за Nomad і прадастаўляюць фальшывыя адрасы для збору сродкаў. Мы пакуль не даем інструкцый па вяртанні пераходных сродкаў. Ігнараваць паведамленні з усіх каналаў, акрамя афіцыйнага канала Nomad: @nomadxyz_
— Качэўнік (⤭⛓?) (@nomadxyz_) Жнівень 2, 2022
па Дэфілама, агульны заблакіраваны кошт Nomad за апошнія некалькі гадзін упаў са 190.38 мільёна долараў да 5,336 долараў.
Nomad - гэта апошняя атака на токен-брыдж у гэтым годзе пасля гучных подзвігаў Моста Роніна, Чарвяточыны і гармонія.
Binance бясплатна $100 (эксклюзіў): Выкарыстоўвайце гэтую спасылку каб зарэгістравацца і атрымаць $100 бясплатна і 10% зніжкі на Binance Futures у першы месяц (ўмовы).
Спецыяльная прапанова PrimeXBT: Выкарыстоўвайце гэтую спасылку зарэгістравацца і ўвесці код POTATO50, каб атрымаць да $7,000 на вашыя дэпазіты.
Крыніца: https://cryptopotato.com/nomad-bridge-suffers-190m-loss-in-chaotic-copy-paste-attack/