Anksti rugpjūčio 2 d., Nomad Bridge paskelbė įspėjimą, kad žino apie vykstantį išnaudojimą. Per kitas valandas buvo nusausintos visos protokolo lėšos – daugiau nei 190 mln.
Kripto bendruomenės kūrėjas ir balta skrybėlė „samczsun“ nutraukė įvykių grandinę ir paaiškino, kas atsitiko. Jis ataką pavadino „vienu chaotiškiausių įsilaužimų, kokį Web3 kada nors matė“.
1/ Nomadas ką tik buvo nusausintas už daugiau nei 150 mln. USD per vieną chaotiškiausių „Web3“ kada nors matytų įsilaužimų. Kaip tiksliai tai atsitiko ir kokia buvo pagrindinė priežastis? Leisk man nuvesti tave į užkulisius? pic.twitter.com/Y7Q3fZ7ezm
- samczsun (@samczsun) Rugpjūtis 1, 2022
„Nomad“ yra simbolinis tiltas, skirtas perdavimui tarp grandinių Ethereum, Lavina, Milkomeda ir Mėnulio spindulys.
Išnaudotos klajoklių lėšos
Tyrėjai pasidalijo tviteryje ETHSecurity Telegram kanale, kuriame rodomos kelios lėšų operacijos, paliekančios tiltą. Iš pirmo žvilgsnio atrodė, kad tai klaidinga žetonų dešimtainių dalių konfigūracija, tačiau samczsun atrado:
„Tačiau po tam tikro skausmingo rankinio „Moonbeam“ tinklo kasimo patvirtinau, kad nors „Moonbeam“ sandoris panaikino 0.01 WBTC, „Ethereum“ sandoris kažkaip pasiekė 100 WBTC.
Šis išnaudojimas skiriasi tuo, kad operacijos nebuvo „įrodytos“ ir įvykdytos tiesiogiai. „Galėti apdoroti pranešimą prieš tai neįrodžius yra labai blogai“, – sakė samczsun. Koduotojas dar šiek tiek žvalgėsi ir aptiko lemtingą „Replica“ išmaniosios sutarties, inicijuotos atliekant įprastinį „Nomad“ atnaujinimą, trūkumą.
Jis pridūrė, kad tai buvo chaotiška, nes kriptovaliutų vagims nereikėjo jokių techninių žinių. Jiems tereikėjo rasti veiksmingą operaciją, pakeisti tikslinį adresą savo ir pertransliuoti jį iš naujo.
„Įprastas atnaujinimas pažymėjo nulinę maišą kaip galiojančią šaknį, o tai leido suklastoti pranešimus „Nomad“. Užpuolikai tuo piktnaudžiaudavo norėdami nukopijuoti / įklijuoti sandorius ir greitai nusausino tiltą, kai buvo siautulinga nemokama visiems.
TVL iki nulio
Nomadas netgi aptiko apgaulingų adresų, kuriais bandoma pavogti į tiltą grąžintas lėšas.
Žinome, kad apsimetėliai apsimetė klajokliais ir pateikia apgaulingus adresus lėšoms rinkti. Kol kas neteikiame nurodymų grąžinti laikinąsias lėšas. Nepaisyti pranešimų iš visų kanalų, išskyrus oficialų Nomad kanalą: @nomadxyz_
— Nomad (⤭⛓?) (@nomadxyz_) Rugpjūtis 2, 2022
Pagal Defiliama, bendra užrakinta Nomad vertė per pastarąsias kelias valandas nukrito nuo 190.38 mln. USD iki 5,336 XNUMX USD.
„Nomad“ yra naujausia žetonų tilto ataka šiais metais po didelio atgarsio Ronino tilto, „Wormhole“ ir Harmonija.
„Binance Free“ 100 USD (išskirtinis): Naudokite šią nuorodą užsiregistruoti ir gauti 100 USD nemokamą ir 10% nuolaidą „Binance Futures“ pirmajam mėnesiui (sąlygos).
Specialus „PrimeXBT“ pasiūlymas: Naudokite šią nuorodą užsiregistruoti ir įvesti POTATO50 kodą, kad gautumėte iki 7,000 USD už savo indėlius.
Šaltinis: https://cryptopotato.com/nomad-bridge-suffers-190m-loss-in-chaotic-copy-paste-attack/