Zdi se, da je žetonski most Nomad doživel varnostno zlorabo, ki je hekerjem omogočila sistematično črpanje sredstev mostu v dolgem nizu transakcij.
Glede na platformo za sledenje decentraliziranim financam (DeFi) je bilo skoraj vseh 190.7 milijona dolarjev kriptovalut odstranjenih iz mosta, v denarnici pa je ostalo le še 651.54 dolarjev. Defi Lama.
Nomad bridge se izčrpava, vaša sredstva so morda ogrožena in morda še vedno lahko dvignete preostala sredstva ⚠️ https://t.co/RgYmjSV9eB
— stani.lens (,) (@StaniKulechov) Avgust 1, 2022
Prvi sumljivi transakcija, ki je morda bil izvor tekočega izkoriščanja, je prišlo ob 9:32 UTC, ko je nekomu uspelo z mosta odstraniti 100 zavitih bitcoinov (WBTC) v vrednosti približno 2.3 milijona dolarjev.
Kmalu po tem, ko je skupnost sprožila alarm zaradi morebitnega izkoriščanja, je ekipa Nomad ob 11:35 UTC potrdila, da je seznanjena z "incidentom, ki vključuje Nomad token bridge", in dodala, da "trenutno preiskuje incident."
Ekipa Nomad je za Cointelegraph v izjavi po elektronski pošti 1. avgusta povedala, da je obdržala storitve "vodilnih podjetij za obveščanje in forenziko blockchain."
»Nomad je obvestil organe pregona in dela XNUMX ur na dan, da bi rešil situacijo in zagotovil pravočasne posodobitve. Nomadov cilj je identificirati vpletene račune ter izslediti in izterjati sredstva. Nomad je hvaležen svojim številnim belim prijateljem, ki so se hitro odzvali in umaknili ter zaščitili sredstva.«
Incident je videl WBTC, Wrapped Ether (WETH), USD Coin (USDC), Frax (FRAX), Covalent Query Token (CQT), Hummingbird Governance Token (HBOT), IAGON (IAG), Dai (DAI), GeroWallet (GERO), žetoni Card Starter (CARDS), Saddle DAO (SDL) in Charli3 (C3), vzeti z mostu.
Zavedamo se incidenta, ki vključuje Nomad žetonski most. Trenutno preiskujemo in bomo zagotovili posodobitve, ko jih bomo imeli.
— Nomad (⤭⛓) (@nomadxyz_) Avgust 1, 2022
Izkoriščevalci so odstranili žetone na nenavaden način, saj je bil vsak žeton odstranjen v skoraj enakih apoenih. Na primer, transakcije z natančno 202,440.725413 USDC so bile izvedene več kot 200-krat.
Nomad je žetonski most, ki omogoča prenose žetonov med Avalanche (AVAX), ethereum (ETH), Evmos (EVMOS), Milkomeda C1 in Moonbeam (GLMR).
Za razliko od drugih podvigov, ki so postanejo nekoliko običajni leta 2022 ima ta dogodek do zdaj že na stotine naslovov, ki prejmejo žetone neposredno z mostu.
Medtem je platforma za pametne pogodbe Moonbeam iz omrežja Polkadot, katere izvorni žeton GLMR je bil eden od ciljev izkoriščanja Nomad, prešla v vzdrževanje način ob 11:18 UTC "za preiskavo varnostnega incidenta." Posledično bodo funkcije Moonbeama, kot so redne uporabniške transakcije in interakcije pametnih pogodb, onemogočene.
1/ Pomembno obvestilo: Omrežje Moonbeam je prešlo v način vzdrževanja, da bi raziskalo varnostni incident s pametno pogodbo, nameščeno v omrežju.
— Omrežje Moonbeam #HarvestMoonbeam (@MoonbeamNetwork) Avgust 1, 2022
Napad je prezgoden za most, ki in njegovi začetniki zaokrožijo vlagatelje iz zbiranja sredstev aprila. 29. julija je bil projekt razkrit v a tweet da so Coinbase Ventures, OpenSea in pet drugih večjih podjetij v kriptoindustriji sodelovali v aprilskem začetnem krogu zbiranja sredstev, kar je Nomadu prineslo 225 milijonov dolarjev vrednotenja.
Posodobljeno z izjavo Nomada o incidentu, ki je bila poslana Cointelegraphu 1. avgusta.
Vir: https://cointelegraph.com/news/nomad-token-bridge-drained-of-190m-in-funds-in-security-exploit