Криптовалютный мост Nomad опустошен

Более 190 миллионов долларов было украдено из межсетевого моста криптовалюты Nomad в понедельник, что описывается как один из самых загадочных взломов в истории DeFi.

Схема взлома Nomad

1 августа участники рынка наблюдали, как с контрактного адреса Nomad уходят миллионы долларов.

“2/ Все началось с того, что @officer_cia поделился твитом @spreekaway в Telegram-канале ETHSecurity. Хотя я понятия не имел, что происходит в то время, сам по себе объем активов, покидающих мост, был явно плохим признаком pic.twitter.com/klHNfthVvj”, — написал samczsun (@samczsun) 1 августа 2022 г в своем Twitter.

Данные DeFi Llama показывают, что Ethereum и другие токены на сумму более 190 миллионов долларов были слиты из заблокированной общей стоимости (TVL) в мосту.

“За считанные часы заблокированная стоимость рухнула с 190 740 000 долларов США до 1 794 долларов США. И это было не предоставление кредита, и действовала не одна группа. После того, как первоначальный злоумышленник нанес удар, сотни отдельных учетных записей разобрались с уловкой и скопировали его путь для вывода средств pic.twitter.com/ef0A9djdnf”, — пишет foobar (@0xfoobar) 2 августа 2022 г. в своем Twitter аккаунте.

«Озадачивающий аспект этой уязвимости заключался в том, что все, что нужно было сделать пользователям, чтобы взломать средства моста, — это скопировать исходные данные транзакции хакера, заменить исходный адрес личным, и транзакция прошла успешно!» — написал аудитор кода протокола DeFi «foobar» в Twitter. «Легко, как воспользоваться комбинацией CTRL-C, CTRL-V».

Ряд пользователей, которые были замечены за повторением эксплойта и захватом украденных средств, публично заявили о возвращении токенов. Согласно foobar, уязвимая функция процесса, позволяющая осуществить взлом, лежала у всех на виду — в самом аудиторском отчете Nomad.

“Нам известно об инциденте, связанном с мостом токенов Nomad. В настоящее время мы проводим расследование и предоставим обновления, когда они у нас появятся.”, — написал Nomad (@nomadxyz_) 1 августа 2022 г.

Команда Nomad заявила, что им известно о компрометации токена-моста, и в настоящее время они расследуют эксплойт.

Ранее в этом году Nomad привлекла 22 миллиона долларов от инвесторов во главе с Polychain Capital во имя «безопасности прежде всего взаимодействия».

В раунде приняли участие известные инвесторы, такие как венчурное подразделение AT&T Inc.

Nomad также привлек ангельские инвестиции от Coinbase Global Inc и фондов, стоящих за блокчейнами Polkadot и Avalanche.

Как видно, участие именитых фондов не является гарантией надежности проекта.

Автор: Эльвир, аналитик Freedman Сlub Crypto News

   

Источник