2. augusta agrās stundās Nomad tilts ievietoja brīdinājumu, ka ir informēts par notiekošu ekspluatāciju. Nākamajās stundās tika iztērēti visi protokola līdzekļi vairāk nekā 190 miljonu ASV dolāru apmērā.
Kripto kopienas izstrādātājs un baltā cepure “samczsun” pārtrauca notikumu ķēdi, izskaidrojot notikušo. Viņš uzbrukumu nosauca par "vienu no haotiskākajiem uzlaušanas gadījumiem, kādu Web3 jebkad ir redzējis".
1/ Nomad tikko tika iztērēts par vairāk nekā 150 miljoniem USD vienā no haotiskākajiem uzlaušanas gadījumiem, kādu Web3 jebkad ir redzējis. Kā tieši tas notika un kāds bija galvenais iemesls? Ļaujiet man aizvest jūs aizkulisēs? pic.twitter.com/Y7Q3fZ7ezm
- samczsun (@samczsun) Augusts 1, 2022
Nomad ir simbolisks tilts pārsūtīšanai starp ķēdēm Ethereum, Avalanche, Milkomeda un Moonbeam.
Nomad līdzekļi iztērēti
Pētnieki kopīgoja tvītu ETHSecurity Telegram kanālā, kurā redzami vairāki naudas darījumi, kas atstājuši tiltu. No pirmā acu uzmetiena šķita, ka tā ir nepareiza marķiera decimālskaitļu konfigurācija, taču samczsun atklāja:
"Tomēr pēc sāpīgas manuālas rakšanas Moonbeam tīklā es apstiprināju, ka, lai gan Moonbeam darījums pārvarēja 0.01 WBTC, Ethereum darījums kaut kādā veidā bloķēja 100 WBTC."
Šo izmantošanu atšķir tas, ka darījumi netika “pierādīti” un izpildīti tieši. "Spēja apstrādāt ziņojumu, vispirms to nepierādot, nav ļoti labi," sacīja Samczsun. Kodētājs veica papildu izrakumus un konstatēja fatālu trūkumu viedajā līgumā “Replica”, kas tika inicializēts ikdienas Nomad jaunināšanas laikā.
Viņš piebilda, ka tas ir haotisks, jo kriptovalūtu zagļiem nebija vajadzīgas nekādas tehniskas zināšanas. Viņiem vienkārši bija jāatrod darījums, kas darbojās, jāaizstāj mērķa adrese ar savu un jāpārraida tā.
“Ikdienas jauninājums atzīmēja nulles jaucējkodu kā derīgu sakni, kas ļāva krāpties ar ziņojumiem vietnē Nomad. Uzbrucēji to izmantoja ļaunprātīgi, lai kopētu/ielīmētu darījumus, un ātri iztukšoja tiltu satracinātā bez maksas.
TVL uz nulli
Nomad pat ir atklājis krāpnieciskas adreses, mēģinot nozagt tiltam atgrieztos līdzekļus.
Mēs zinām, ka uzdodas par nomadiem un sniedz krāpnieciskas adreses, lai iekasētu līdzekļus. Mēs vēl nesniedzam norādījumus par tilta līdzekļu atgriešanu. Neņemt vērā saziņu no visiem kanāliem, izņemot Nomad oficiālo kanālu: @nomadxyz_
— Nomad (⤭⛓?) (@nomadxyz_) Augusts 2, 2022
Saskaņā ar Defi Lama, Nomad kopējā bloķētā vērtība pēdējo stundu laikā ir samazinājusies no 190.38 miljoniem USD līdz 5,336 USD.
Nomad ir jaunākais žetonu tilta uzbrukums šogad pēc augsta līmeņa Ronin tilta, Wormhole un Harmonija.
Binance bezmaksas 100 $ (ekskluzīvi): Izmantojiet šo saiti reģistrēties un saņemt USD 100 bez maksas un 10% atlaidi Binance Futures pirmajā mēnesī (noteikumi).
PrimeXBT īpašais piedāvājums: Izmantojiet šo saiti lai reģistrētos un ievadītu POTATO50 kodu, lai saņemtu līdz 7,000 USD par saviem noguldījumiem.
Avots: https://cryptopotato.com/nomad-bridge-suffers-190m-loss-in-chaotic-copy-paste-attack/