Hackerii au furat aproape 200 de milioane de dolari în criptomonede de pe bridge-ul Nomad, un instrument care permite utilizatorilor să schimbe tokenuri de la un blockchain la altul, într-un alt atac care evidențiază slăbiciunile spațiului financiar descentralizat.
„Suntem conștienți de incidentul care a implicat bridge-ul Nomad. În prezent investigăm și vom oferi actualizări când le vom avea”, a declarat Nomad într-un tweet.
We are aware of the incident involving the Nomad token bridge. We are currently investigating and will provide updates when we have them.
— Nomad (⤭⛓🏛) (@nomadxyz_) August 1, 2022
Cum s-a întâmplat?
Bridge-urile funcționează de obicei prin blocarea tokenurilor într-un contract inteligent pe un lanț și apoi reemiterea acelor tokenuri în formă wrapped” pe alt lanț.
Dacă contractul inteligent în care tokenurile sunt depuse inițial este sabotat – așa cum s-a întâmplat în cazul lui Nomad – tokenurile wrapped nu mai au niciun suport, ceea ce le poate face fără valoare.
Pe Twitter, @samczsun, un cercetător la firma de investiții cripto Paradigm, a explicat că o actualizare recentă a unuia dintre contractele inteligente ale Nomad a făcut mai ușor pentru utilizatori să falsifice tranzacțiile. Aceasta înseamnă că utilizatorii au putut retrage fonduri de pe Nomad care nu le aparțin.
1/ Nomad just got drained for over $150M in one of the most chaotic hacks that Web3 has ever seen. How exactly did this happen, and what was the root cause? Allow me to take you behind the scenes 👇 pic.twitter.com/Y7Q3fZ7ezm
— samczsun (@samczsun) August 1, 2022
Sam Sun a descris exploit-ul drept „unul dintre cele mai haotice hack-uri pe care Web3 le-a văzut vreodată”.
🚨Explaining the Nomad bridge hack 🚨
All credit to @samczsun for doing the heavy lifting of diagnosing the precise vulnerability in his postmortem
How did we get the first decentralized crowd-looting of a 9-figure bridge in history? pic.twitter.com/v5u6mrKQv1
— foobar (@0xfoobar) August 2, 2022
Aici lucrurile devin interesante. De obicei, atunci când o gaură de securitate ca aceasta este descoperită, un hacker competent sau un grup mic va fura toate fondurile în câteva minute. Dar de data aceasta, după ce cineva a furat cu succes niște bani de pe podul Nomad, alții s-au alăturat și au luat niște bani pentru ei înșiși.
„… nu trebuia să știi despre Solidity sau Merkle Trees sau ceva de genul asta. Tot ce trebuia să faci era să găsești o tranzacție care să funcționeze, să găsești/înlocuiești adresa celeilalte persoane cu a ta și apoi să o retransmiți, „, a explicat @samczsun.
Prima tranzacție suspectă, probabil originea hack-ului, a avut loc la ora 21:32 UTC, când cineva a reușit să elimine 100 de tokenuri Wrapped Bitcoin (WBTC) în valoare de aproximativ 2,3 milioane de dolari din Bridge.
Suma totală exactă exploatată nu este cunoscută, dar se pare că toate fondurile bridge-ului Nomad au fost furate, estimate la 190 de milioane de dolari.
Peckshield a identifica că 41 de adrese au furat aproape 152 de milioane de dolari, sau aproape 80% din breșa bridge-ului Nomad.
#PeckShieldAlert PeckShield has detected ~41 addresses grabbed ~$152M (~80%) in the @nomadxyz_ bridge exploit, including ~7 MEV Bots (~$7.1M), @RariCapital Arbitrum exploiter (~$3.4M), and 6 White Hat (~$8.2M).
~10% of these addresses with ENS names getting $6.1M pic.twitter.com/UUjk7ZiiKE— PeckShieldAlert (@PeckShieldAlert) August 2, 2022
Nomad a vândut investitorilor viziunea că ar fi mai sigur decât alte platforme
Exploatarea bridge-ului Nomad este al optulea cel mai mare furt cripto din istorie, potrivit companiei de cripto-securitate Elliptic.
🚨 The Nomad cross-chain bridge hack is the 8th largest crypto theft ever. Elliptic has identified over 40 exploiters with the most prolific gaining almost $42m. Wallets used to initiate previous DeFi thefts are among those involved in this exploit. https://t.co/iH4SlwdJWE pic.twitter.com/IlPudKkzem
— elliptic (@elliptic) August 2, 2022
Atacurile asupra bridge-urilor au devenit mai frecvente în ultimele luni, deoarece cripto-utilizatorii au demonstrat un apetit crescut pentru schimbul de active între diferite blockchain-uri.
Instanțe de vulnerabilități și designul slab au făcut din bridge-uri o țintă principală pentru hackerii care doresc să fraudeze milioane de investitori. Începând cu 2022, mai mult de 1 miliard de dolari în active digitale au fost furate din cauza unor vulnerabilități, potrivit unui raport al companiei de cripto-securitate Elliptic.
Cel mai mare atac DeFi din istorie este atacul asupra bridge-ului Ronin din aprilie. Peste 600 de milioane de dolari în active digitale au fost furate de pe bridge-ul care alimentează jocul bazat pe blockchain Axie Infinity.
Cu doar câteva luni înainte de asta, peste 300 de milioane de dolari au fost furați de pe bridge-ul Wormhole, făcând ravagii în comunitatea Solana și în ecosistemul mai larg DeFi.
La fel ca Ronin și Harmony, Nomad a fost vizat printr-o defecțiune a codului său – dar au existat câteva diferențe. Cu aceste atacuri, hackerii au reușit să recupereze cheile private necesare pentru a obține controlul asupra rețelei și pentru a începe să mute tokenurile.
În cazul lui Nomad, a fost mult mai simplu decât atât. O actualizare de rutină a bridge-ului le-a permis utilizatorilor să facă tranzacții și să fure milioane de dolari.