V zgodnjih urah 2. avgusta je Nomad bridge objavil opozorilo, da je seznanjen s tekočim izkoriščanjem. V naslednjih urah so bila izčrpana celotna sredstva protokola v višini več kot 190 milijonov dolarjev.
Razvijalec kripto skupnosti in beli klobuk 'samczsun' je razčlenil verigo dogodkov in pojasnil, kaj se je zgodilo. Napad je označil za "enega najbolj kaotičnih vdorov, kar jih je Web3 kdaj videl."
1/ Nomad je bil pravkar izčrpan za več kot 150 milijonov $ v enem najbolj kaotičnih vdorov, kar jih je Web3 kdaj videl. Kako točno se je to zgodilo in kaj je bil glavni vzrok? Dovolite, da vas popeljem v zakulisje? pic.twitter.com/Y7Q3fZ7ezm
- samczsun (@samczsun) Avgust 1, 2022
Nomad je žetonski most za medverižne prenose med Ethereum, Avalanche, Milkomeda in Moonbeam.
Nomadska sredstva so izčrpana
Raziskovalci so delili tvit na kanalu ETHSecurity Telegram, ki prikazuje več transakcij sredstev, ki zapuščajo most. Na prvi pogled se je zdelo, da gre za napačno konfiguracijo decimalk žetonov, vendar je samczsun odkril:
"Vendar sem po bolečem ročnem kopanju po omrežju Moonbeam potrdil, da je transakcija Moonbeam premostila 0.01 WBTC, vendar je transakcija Ethereum nekako premostila 100 WBTC."
To izkoriščanje je drugačno po tem, da transakcije niso bile 'preverjene' in so bile izvedene neposredno. "Zmožnost obdelave sporočila, ne da bi ga prej dokazali, ni zelo dobra," je dejal samczsun. Kodirnik je še nekaj pobrskal in našel usodno napako v pametni pogodbi 'Replica', inicializirani med rutinsko nadgradnjo Nomad.
Dodal je, da je bilo to kaotično, saj kripto tatovi niso potrebovali nobenega tehničnega znanja. Samo najti so morali transakcijo, ki je delovala, zamenjati ciljni naslov s svojim in ga ponovno oddajati.
»Rutinska nadgradnja je označila ničelno zgoščeno vrednost kot veljavno korenino, kar je imelo za posledico, da so sporočila v Nomadu omogočala ponarejanje. Napadalci so to zlorabili za kopiranje/prilepitev transakcij in hitro izpraznili most v nori zastonj,«
TVL na nič
Nomad je celo odkril goljufive naslove, ki poskušajo ukrasti sredstva, vrnjena na most.
Zavedamo se imitatorjev, ki se predstavljajo kot Nomadi in ponujajo lažne naslove za zbiranje sredstev. Navodil za vračilo premostitvenih sredstev še ne zagotavljamo. Ne upoštevajte sporočil z vseh kanalov razen uradnega kanala Nomad: @nomadxyz_
— Nomad (⤭⛓?) (@nomadxyz_) Avgust 2, 2022
Glede na DefilLlama, skupna zaklenjena vrednost Nomada je v zadnjih nekaj urah padla s 190.38 milijona $ na 5,336 $.
Nomad je zadnji letošnji napad na žetonski most po odmevnih podvigih mostu Ronin, črvine in Harmony.
Binance brezplačno 100 $ (ekskluzivno): Uporabite to povezavo da se registrirate in prejmete 100 $ brezplačno in 10 % popusta na Binance Futures prvi mesec (Pogoji).
Posebna ponudba PrimeXBT: Uporabite to povezavo za registracijo in vnos kode POTATO50, da boste prejeli do 7,000 $ na svoje depozite.
Vir: https://cryptopotato.com/nomad-bridge-suffers-190m-loss-in-chaotic-copy-paste-attack/