Хакерская атака на мост Nomad в результате которой активы компании почти на 200 млн.$ были разграблены.

[medvedev1974]

01 августа 2022 года злоумышленником были украдены средства c кросс-протокола Nomad на сумму $190 млн., в настоящее время украденные токены «отмываются» через популярный крипто-миксер Tornado.Cash.

Nomad предоставляет инфраструктуру для межсетевых проектов, позволяет dApps в разных экосистемах взаимодействовать друг с другом и передавать токены между Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 и Moonbeam (GLMR). По состоянию на апрель 2022, года общая капитализация проекта составила $225 млн.

Заслуживает внимание и то, что несколько дней назад сервис получил венчурное финансирование на $22 млн. от таких фондов, как Polychain Capital, Wintermute и Coinbase Ventures.

Команда аналитиков TokenScope заинтересовалась деталями крупного взлома и провела свое небольшое исследование обстоятельств хищения средств.

 

Взлом был обнаружен одним пользователем, который сделал пост в своем Twitter, что входящие транзакции c моста Nomad в сети Moonbeam на 0.01 WBTC 0xcca9299c739a1b538150af007a34aba516b6dade1965e80198be021e3166fe4c не соотносятся по сумме с выводом с моста Nomad в сети EThereum 100 WBTC 0xa5fe9d044e4f3e5aa5bc4c0709333cd2190cba0f4e7f16bcf73f49f83e4a5460.

При этом, подтверждения транзакций с моста Nomad Bridge о выводе средств в WBTC отсутствовали в коде транзакции, что свидетельствовало о нарушениях в самом контракте моста.

В процессе изучения выяснилось, что во время обычного обновления команда Nomad инициализировала доверенный корень равным 0x00. (Использование нулевых значений в качестве значений инициализации является обычной практикой). К сожалению, в данном случае это имело «небольшой побочный эффект» в виде отсутствия автоматической проверки каждого сообщения, то есть любая отправленная транзакция не требовала одобрения.

Все, что вам нужно было сделать, это найти транзакцию, которая сработала, найти и заменить адрес другого человека на свой, а затем повторно транслировать его, этим воспользовались злоумышленники и быстро опустошили мост.

Первоначально хакеры вывели WETH и WBTC на $2.3 млн. при этом в 01:35 02 августа 2022 года в Twitter появилось сообщение, что средства у Nomad еще остались:

 

Через несколько часов с моста Nomad более чем 200 транзакциями были выведены и оставшиеся средства в различных монетах, таких как Covalent Query Token (CQT), USD Coin (USDC), Frax (FRAX), IAGON (IAG), Hummingbird Governance Token (HBOT), Card Starter (CARDS), GeroWallet (GERO), DAI и других.

Часть средств были выведены через хорошо известный крипто-миксер Tornado.Cash а также кошельки на бирже UniSwap. Другая часть средств в настоящий момент распределена на 41 адресе, среди которых уже обнаружено 7 адресов ботов, 6 адресов, принадлежащих «белым» хакерам и адрес злоумышленника, участвовавшего во взломе RariCapital в конце апреля текущего года:

 

После атаки на сервис, токен децентрализованной сети оракулов в сети Cardano Charli3 (C3) в результате взлома в моменте упал на 87%.

Такая хаотичная атака свидетельствует о вовлеченности в хищении средств нескольких хакеров и их группировок.

Разработчики Nomad на следующий день сообщили, что им известно об инциденте, ими в настоящее время проводится расследование. По мере прояснения ситуации команда предоставит дополнительную информацию. Однако маловероятно, что вкладчики смогут вернуть свои средства так быстро, поскольку сервис фактически был разграблен.

Следим за дальнейшим развитием ситуации.

 

Оригинал материала: Сумма ущерба от взлома Nomad Bridge приближается к $200 млн. | TokenScope