Il 1° agosto il Nomad token bridge ha subito un exploit che ha permesso a diverse persone di prosciugare il ponte di 190.7 milioni di dollari.
Il primo segno di problemi è iniziato verso le 9:23 UTC dopo un hacker Exploited il ponte per ritirare 100 WBTC per un valore di 2.3 milioni di dollari.
Molti altri hanno copiato il codice della prima transazione sospetta e cambiato l'indirizzo per partecipare al prosciugamento dei fondi.
1/ Nomad è stato appena prosciugato per oltre $ 150 milioni in uno degli hack più caotici che Web3 abbia mai visto. Come è successo esattamente e qual è stata la causa principale? Mi permetti di portarti dietro le quinte? pic.twitter.com/Y7Q3fZ7ezm
- samczsun (@samczsun) 1 Agosto 2022
Il ponte Nomad ha consentito il trasferimento di token tra Ethereum (ETH), Valanga (AVAX), Evmos (EVMOS), Raggio di luna (GLMR) e blockchain Milkomeda C1.
Messaggi che spuntavano nei server Discord pubblici di persone casuali che prendevano $ 3K- $ 20K dal ponte Nomad: tutto ciò che si doveva fare era copiare la prima transazione dell'hacker e cambiare l'indirizzo, quindi premere invia tramite Etherscan. In vero stile crittografico: la prima rapina decentralizzata. https://t.co/jWV9AamBer
— FatMan (@FatManTerra) 2 Agosto 2022
A differenza di altri exploit crittografici in cui solo pochi indirizzi sono direttamente collegati all'hacking, centinaia di indirizzi sono stati responsabili del prosciugamento del ponte Nomad di quasi tutti i $ 190.7 milioni al suo interno.
2/ Apparentemente ci sono più portafogli coinvolti in questo hack e hanno prosciugato con successo i fondi.
In totale sono stati rubati 39 milioni di dollari in USDC in una singola transazione prelevando più volte $ 202,440 dal bridge. pic.twitter.com/ciXfv3Ebpo
— Il risveglio schietto? (@Manikumar111111) 2 Agosto 2022
Stranamente, alcune delle transazioni di exploit avevano lo stesso valore. Ad esempio, ci sono state oltre 200 transazioni di esattamente 202,440.725413 USDC.
Diversi token come WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL e C3 sono stati rubati dal bridge.
Secondo Oxfobar, l'attacco è avvenuto a causa di una scarsa strategia operativa che ha causato "una cattiva inizializzazione della radice di Merkle che ha portato a dimostrare la validità di ogni messaggio per impostazione predefinita".
TL; DR: una strategia operativa scadente ha portato a una cattiva inizializzazione della radice di merkle che ha portato a dimostrare la validità di ogni messaggio per impostazione predefinita
Tempi difficili poiché il team Nomad ha raccolto un round da 22 milioni di dollari diversi mesi fa e ha recentemente annunciato un sostegno significativo https://t.co/tsPTigF8XV
— foobar (@0xfoobar) 2 Agosto 2022
Il team Nomad ha confermato l'exploit e ha affermato di indagare sugli eventi.
Siamo a conoscenza dell'incidente che ha coinvolto il ponte dei token Nomad. Stiamo attualmente esaminando e forniremo aggiornamenti quando li avremo.
— Nomade (⤭⛓?) (@nomadxyz_) 1 Agosto 2022
Nel frattempo, Moonbeam è entrata in modalità di manutenzione "per indagare su un incidente di sicurezza con uno smart contract distribuito sulla rete".
1/ Avviso importante: la rete Moonbeam è entrata in modalità di manutenzione per indagare su un incidente di sicurezza con uno smart contract distribuito sulla rete.
— Rete Moonbeam #HarvestMoonbeam (@MoonbeamNetwork) 1 Agosto 2022
1/ All'inizio di oggi, si è verificato un incidente di sicurezza che ha avuto un impatto sul @nomadxyz_ ponti per Moonbeam. Quasi tutte le risorse nel contratto intelligente Ethereum Mainnet di Nomad sono state prosciugate. Non abbiamo trovato prove che il recente incidente di sicurezza fosse correlato alla base di codice Moonbeam.
— Rete Moonbeam #HarvestMoonbeam (@MoonbeamNetwork) 2 Agosto 2022
Peckshield ha rivelato di aver rilevato 41 indirizzi che hanno preso circa $ 152 milioni (80%) dei fondi rubati.
Secondo la società di sicurezza blockchain, uno dei portafogli apparteneva all'hacker che ha rubato 80 milioni di dollari dalla piattaforma DeFi Rari Capital e Saddle Finance.
#Allerta PeckShield PeckShield ha rilevato ~41 indirizzi acquisiti ~$152M (~80%) nel @nomadxyz_ exploit bridge, inclusi ~7 bot MEV (~$7.1 milioni), @RariCapital Sfruttatore di Arbitrum (~$3.4 milioni) e 6 White Hat (~$8.2 milioni).
~10% di questi indirizzi con nomi ENS che ottengono $ 6.1 milioni pic.twitter.com/UUjk7ZiiKE—PeckShieldAlert (@PeckShieldAlert) 2 Agosto 2022
Gli hacker di Whitehat salvano parte dei fondi rubati
Mentre l'intera faccenda sembra un saccheggio gratuito, le informazioni disponibili confermano che alcuni di coloro che hanno preso fondi dal ponte erano hacker whitehat cercando di impedire ai ladri di accedere ai fondi.
Alcuni che hanno prosciugato i fondi hanno confermato che intendono restituirli.
sto restituendo questi soldi, fbi pls si calmi. no, non avevo intenzione di rubarlo e sì, so che questo indirizzo è doxed
? ? ?.eth
Nomade— ???.eth (@SpaceWigger) 2 Agosto 2022
Uno di loro ha scritto:
“Questo è un trucco bianco. Ho intenzione di restituire i fondi. In attesa di comunicazione ufficiale dal team Nomad (fornire un ID e-mail per la comunicazione). Non ho scambiato alcuna risorsa anche dopo aver saputo che USDC può essere congelato. Token USDC, FRAX e CQT trasferiti da altri indirizzi per consolidare. Vorrei poter salvare più fondi, ma è stato troppo lento".
Altri hanno anche individuato come hacker whitehat e ha chiesto al team di mettersi in contatto, incluso qualcuno che è stato in grado di ottenere $ 1 milione.
Un paio di quelli che si accaparrano i fondi del ponte, alcuni che si sono pubblicamente fatti avanti e si sono offerti di tornare
???.eth
Sfruttatore di capitale Rari
darkfi.eth pic.twitter.com/2adlMl6Pj3— foobar (@0xfoobar) 2 Agosto 2022
Fonte: https://cryptoslate.com/nomad-bridge-drained-of-190m-after-hundreds-of-addresses-copy-hackers-code/