Эксплойт Nomad стаў адным з найбуйнейшых узломаў крыптавалют у гісторыі. У выніку было зліта сродкаў на суму больш за 190 мільёнаў долараў. Яго назвалі «адным з самых хаатычных узломаў, якія калі-небудзь бачыў Web3».
PeckShield выявіў вяртанне 9 мільёнаў долараў у розных крыпта-актывах на міжланцуговы мост. Згодна з высновамі кампаніі, большая частка сродкаў была вернута ў выглядзе стейблкойна USDC, за якім ідуць USDT і іншыя альткоіны.
Зварот Nomad аб вяртанні сродкаў
,en эксплуатаваць адбылося з-за недахопу ў смарт-кантракце. Гэта прымусіла сотні карыстальнікаў без тэхнічных ведаў знайсці транзакцыю, якая спрацавала, змяніць мэтавы адрас сваім уласным і рэтрансляваць яго. Па сутнасці, капіраванне крокаў, выкананых першапачатковым хакерам. Прырода падзеі прывяла ананімнага даследчыка Terra FatMan да лічаць напад як «першае дэцэнтралізаванае рабаванне».
Пазней каманда пацвердзіла, што некаторыя карыстальнікі, якія збіралі сродкі, на самай справе спрабавалі дапамагчы праекту, не даючы крыпта трапіць у чужыя рукі. Затым Nomad заклікаў хакераў з белымі капелюшамі і даследчыкаў этыкі вярнуць токены.
Фірма бяспекі блокчейна PeckShield, адзначыў, што амаль 3.78 мільёна USDC, 2 мільёны USDT, 15.8 мільёна CQT (прыблізна 1.38 мільёна долараў), 1.28 мільёна долараў FRAX (прыблізна 1.2 мільёна долараў), 100 ETH (прыблізна 164 тысячы долараў), 200 WETH (прыблізна 328 тысяч долараў) былі здабыты. Больш за 50% выкрадзеных сродкаў па-ранейшаму знаходзяцца на 3 асноўных адрасах.
Кампанія Nomad абвясціла аб атрыманні 22.4 мільёна долараў у пачатковым раўндзе ад гігантаў галіны Coinbase Ventures, OpenSea, CryptoCom Capital, Polygon, Gnosis, Polygon і г.д. усяго за некалькі дзён да ўзлому бяспекі. Каманда ў цяперашні час рабочы з вядучай разведвальнай кампаніяй TRM Labs, а таксама з праваахоўнымі органамі, каб адсачыць скрадзеныя сродкі і вызначыць кашалькі атрымальнікаў.
Чырвоны сцяг маёра праігнараваны
У ходзе расследавання з'явіліся паведамленні пра памылку з боку Nomad. Па дадзеных групы крыптааналізу BestBrokers, уразлівасць, якой выкарыстоўваліся зламыснікі, нібыта была выдзелены у справаздачы аб праверцы бяспекі, зробленай Quantstamp 6 чэрвеня 2022 г.
Паведамляецца, што гэта было прызнана "нізкім рызыкай". Нават каманда Nomad адказ кажучы - "Мы лічым, што практычна немагчыма знайсці правобраз пустога ліста".
КрыптаБульба звязаўся з Nomad наконт распрацоўкі і адпаведна абновіць гісторыю.
Binance бясплатна $100 (эксклюзіў): Выкарыстоўвайце гэтую спасылку каб зарэгістравацца і атрымаць $100 бясплатна і 10% зніжкі на Binance Futures у першы месяц (ўмовы).
Спецыяльная прапанова PrimeXBT: Выкарыстоўвайце гэтую спасылку зарэгістравацца і ўвесці код POTATO50, каб атрымаць да $7,000 на вашыя дэпазіты.
Крыніца: https://cryptopotato.com/hacker-returns-9m-to-nomad-after-draining-over-190m/