Nomad Bridge zhackowany na 190 mln dolarów

We wczesnych godzinach w dniu 2 sierpnia most Nomad ogłosił, że padł ofiarą hakerów. W ciągu kolejnych godzin, wydrenowane zostały wszystkie środki protokołu w kwocie ponad 190 milionów dolarów.

Deweloper i haker white hat o nicku “samczsun” wyjaśnił co się stało. Określił on atak jako “jeden z najbardziej chaotycznych hacków, jakie Web3 kiedykolwiek widziało”.

1/ Nomad just got drained for over $150M in one of the most chaotic hacks that Web3 has ever seen. How exactly did this happen, and what was the root cause? Allow me to take you behind the scenes ? pic.twitter.com/Y7Q3fZ7ezm

— samczsun (@samczsun) August 1, 2022

Nomad to most dla tokenów umożliwiający transfery cross-chain pomiędzy Ethereum, Avalanche, Milkomeda i Moonbeam.

Środki z Nomada wydrenowane

Badacze podzielili się tweetem na kanale Telegram
ETHSecurity pokazującym wiele transakcji funduszy opuszczających most. Na pierwszy rzut oka wydawało się, że jest to błędna konfiguracja w systemie dziesiętnym tokenów, ale samczsun odkrył:

Jednak po bolesnym ręcznym kopaniu w sieci Moonbeam potwierdziłem, że podczas gdy transakcja Moonbeam rzeczywiście pomostowała 0,01 WBTC, w jakiś sposób transakcja Ethereum pomostowała 100 WBTC.

To co odróżnia ten hack on innych to fakt, że transakcje nie zostały “udowodnione” i wykonane bezpośrednio. Samczun dodaje:

Możliwość przetworzenia wiadomości bez jej wcześniejszego udowodnienia jest wyjątkowo zła.

Koder poszperał trochę więcej i znalazł zgubną wadę w smart kontrakcie ‘Replica’ zainicjowanym podczas rutynowej aktualizacji protokołu.

Dodał, że było to chaotyczne, ponieważ złodzieje kryptowalut nie potrzebowali żadnej wiedzy technicznej. Wystarczyło, że znaleźli transakcję, która działała, zastąpili adres docelowy swoim własnym i ponownie ją rozesłali.

Rutynowa aktualizacja oznaczyła zerowy hash jako ważny root, co miało wpływ na umożliwienie spoofingu wiadomości w Nomad. Atakujący nadużywali tego, aby kopiować/wklejać transakcje i szybko opróżnić most.

TVL spadła do zera

Nomad odkrył nawet fałszywe adresy próbujące ukraść środki zwrócone na most.

We’re aware of impersonators posing as Nomad and providing fraudulent addresses to collect funds. We aren’t yet providing instructions to return bridge funds. Disregard comms from all channels other than Nomad’s official channel: @nomadxyz_

— Nomad (⤭⛓?) (@nomadxyz_) August 2, 2022

Według DefiLlama, całkowita wartość zablokowanego projektu spadła w ciągu kilku godzin z 190,38 mln dolarów do 5336 dolarów.

Nomad jest kolejnym już atakiem na most tokenów w tym roku. Wcześniej zhackowano już Ronin, Wormhole i Harmony.