Tikai dažas stundas pēc Nomad žetonu tilta publicēti Ethereum maka adrese pagājušajā nedēļā, lai atgrieztu līdzekļus pēc 190 miljonu ASV dolāru uzlaušanas, whitehat hakeri kopš tā laika ir atgriezuši līdzekļus aptuveni 32.6 miljonu ASV dolāru vērtībā. Lielāko daļu līdzekļu veidoja stabilās monētas USD Monēta (USDC), Piesiets (USDT) un Frax, kā arī altcoins.
Saskaņā ar pētījumu, ko publicējis Pols Hofmans no BestBrokers, Nomad protokola ievainojamība tika uzsvērta Nomad nesenajā auditā, ko veica Quantstamp 6. jūnijā, un tika uzskatīts par “zemu risku”. Tiklīdz ekspluatācija tika atklāta, sabiedrības locekļi pievienojās uzbrukumam, kopējot un ielīmējot sākotnējo uzlaušanas darījumu, kas bija līdzīgs "decentralizētai laupīšanai". Vairāk nekā 190 miljonu dolāru vērtas kriptovalūtas no Nomad tika izvadītas mazāk nekā trīs stundu laikā.
Uzbrukums notika tikai četrus mēnešus pēc tam, kad projekts aprīlī piesaistīja 22.4 miljonus ASV dolāru. Kā pastāstīja Hofmans, uzbrukumā tika izmantota nepareizi inicializēta Merkles sakne, kas tiek izmantota kriptovalūtās, lai nodrošinātu, ka datu bloki, kas tiek nosūtīti, izmantojot vienādranga tīklu, ir veseli un nemainīgi. Programmēšanas kļūda faktiski automātiski pierādīja, ka jebkurš darījuma ziņojums ir derīgs.
Tomēr ne visi laupīšanas dalībnieki izmantoja šo iespēju. Gandrīz uzreiz pēc uzlaušanas sākuma whitehat hakeri nokopēja to pašu darījuma jaucējkodu, ko sākotnējais hakeris, lai izņemtu līdzekļus drošai atgriešanai. Un otrādi, viens hakeris, iespējams, izmantoja savu Ethereum domēna nosaukumu mazgāt nozagtie līdzekļi, kas rada iespēju veikt savstarpēju verifikāciju ar Know-Your-Customer informāciju, izmantojot arī domēnu.
Nomad Bridge līdzekļu atgūšanas process
Cienījamie balto cepuru hakeri un ētikas pētnieku draugi, kas ir sargājuši ETH/ERC-20 žetonus!
Lūdzu, nosūtiet līdzekļus uz šādu Ethereum maka adresi: 0x94A84433101A10aEda762968f6995c574D1bF154 pic.twitter.com/UF623JSZ8u
— Nomad (⤭⛓) (@nomadxyz_) Augusts 3, 2022
Avots: https://cointelegraph.com/news/white-hat-hackers-have-returned-32-6m-worth-of-tokens-to-nomad-bridge