$200 миллионов за ночь. Что случилось с Nomad?

Пользователи Nomad столкнулись с настоящим коллапсом: кроссчейн-мост взломали и вывели оттуда почти 200 миллионов долларов. Среди украденных активов значатся: WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS. SDL, C3 (последний рухнул на 87% из-за взлома).

Компания официально признала инцидент 1 августа, начала расследование и выпустила «объяснительный» твит.

Update: We are working around the clock to address the situation and have notified law enforcement and retained leading firms for blockchain intelligence and forensics. Our goal is to identify the accounts involved and to trace and recover the funds.

1/2

Мы круглосуточно работаем над разрешением ситуации, обратились в правоохранительные органы и к ведущим блокчейн-разработчикам и судебным экспертам. Наша цель определить пострадавшие счета и вернуть средства.

Nomad — кроссчейн-мост, который позволяет пользователям передавать криптовалютные токены из одного блокчейна в другой. Например, с помощью Nomad очень легко за пару кликов перевести ETH, USDC или WBTC из блокчейна Ethereum в блокчейн Moonbeam.

В Nomad заявили, что «круглосуточно работают над устранением ситуации», а также уведомили правоохранительные органы (компания обратилась к профессионалам, которые занимаются расследованиями в области блокчейн преступлений). Кроме того, Nomad обещал оперативно информировать пользователей обо всех изменениях.

Почему же взлом вообще стал возможным? Обо всех причинах известно пока что немного. До сих пор остается загадкой, каким образом была организована атака и собирается ли кроссчейн-мост компенсировать пользователям убытки (однако команда заявила, что планирует отследить и восстановить украденные средства).

Эксперты уверены, что все проблемы начались с обновления кода Nomad. В компании PeckShield, специализирующейся на блокчейн безопасности, уверены, что уязвимость появилась во время обновления смарт-контракта. Разработчики ошибочно изменили смарт-контракт кроссчейн-моста и развернули код без надлежащего аудита. Как результат — с более чем 41 адреса было украдено 152 миллиона долларов (это 80% украденных средств).

Партнер по исследованиям в инвестиционной компании Paradigm, специализирующейся на криптографии, с ником в Твиттере @samczsun, описал эксплойт как «один из самых хаотичных взломов, которые когда-либо видел в Web3» — Web3 является гипотетической будущей итерацией Интернета, построенной на технологии блокчейна. Он уверен: проблема кроется в недавнем обновлении, которое якобы упростило для пользователей подделку транзакций. По его словам, вывести токены мог любой, кто знал об ошибке в коде Nomad. Хакеры сразу же организовали армии ботов для проведения идентичных атак.

12/ tl;dr a routine upgrade marked the zero hash as a valid root, which had the effect of allowing messages to be spoofed on Nomad. Attackers abused this to copy/paste transactions and quickly drained the bridge in a frenzied free-for-all

В результате очередного обновления нулевой хэш начал помечаться как валидный, это позволило подделывать сообщения. Атакующие воспользовались этим, чтобы быстро копировать сообщения и таким образом опустошили мост.

В последнее время кроссчейн-мосты регулярно становятся объектами самых громких взломов в криптовалютной индустрии из-за высокой стоимости активов, которые они хранят, и сложности (и, следовательно, потенциальной уязвимости) кода смарт-контракта, на котором они работают. В этом году только два взлома уже нанесли убыток в почти миллиард долларов: в феврале платформа Wormhole была взломана на $325 миллионов после того, как хакер обнаружил ошибку в открытом исходном коде, загруженном на GitHub, и воспользовался ею. Затем, в марте, хакер украл около $625 миллионов из блокчейна Ronin, лежащего в основе криптоигры Axie Infinity.

Приложение Tiger.Trade Copy копирует для вас сделки профессиональных трейдеров.