Nomad Token Bridge erlitt am 1. August einen Exploit, der es mehreren Personen ermöglichte, die Brücke mit 190.7 Millionen Dollar zu belasten.
Die ersten Anzeichen von Problemen begannen gegen 9:23 Uhr UTC nach einem Hacker Exploited die Brücke, um 100 WBTCs im Wert von 2.3 Millionen US-Dollar zurückzuziehen.
Mehrere andere kopierten den Code der ersten verdächtigen Transaktion und änderten die Adresse, um sich an der Abschöpfung der Gelder zu beteiligen.
1/ Nomad wurde in einem der chaotischsten Hacks, den Web150 je gesehen hat, gerade über 3 Millionen Dollar abgezogen. Wie genau ist das passiert und was war die Ursache? Erlauben Sie mir, Sie hinter die Kulissen zu führen? pic.twitter.com/Y7Q3fZ7ezm
- samczsun (@samczsun) 1. August 2022
Die Nomad Bridge ermöglichte den Token-Transfer zwischen Ethereum (ETH), Lawine (AVAX), Evmos (EVMOS), Mondstrahl (GLMR) und Milkomeda C1 Blockchains.
Nachrichten, die auf öffentlichen Discord-Servern auftauchen, von zufälligen Leuten, die 3 bis 20 Dollar von der Nomad-Brücke stehlen – alles, was man tun musste, war, die Transaktion des ersten Hackers zu kopieren, die Adresse zu ändern und dann auf Senden durch Etherscan zu klicken. In wahrer Krypto-Manier – der erste dezentrale Raub. https://t.co/jWV9AamBer
– FatMan (@FatManTerra) 2. August 2022
Im Gegensatz zu anderen Krypto-Exploits, bei denen nur wenige Adressen direkt mit dem Hack verbunden sind, waren Hunderte von Adressen dafür verantwortlich, dass fast alle darin eingeschlossenen 190.7 Millionen US-Dollar aus der Nomad Bridge abgezogen wurden.
2/ Anscheinend sind mehrere Wallets an diesem Hack beteiligt und haben die Gelder erfolgreich abgezogen.
Insgesamt 39 Millionen Dollar in USDC wurden in einer einzigen Transaktion gestohlen, bei der 202,440 Dollar mehrmals von der Brücke abgehoben wurden. pic.twitter.com/ciXfv3Ebpo
— Der erwachte stumpf? (@Manikumar111111) 2. August 2022
Seltsamerweise hatten einige der Exploit-Transaktionen den gleichen Wert. Beispielsweise gab es über 200 Transaktionen von genau 202,440.725413 USDC.
Mehrere Token wie WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL und C3 wurden von der Brücke gestohlen.
Laut Oxfoobar, geschah der Angriff aufgrund einer schlechten Betriebsstrategie, die eine „schlechte Merkle-Root-Initialisierung verursachte, die dazu führte, dass sich jede Nachricht standardmäßig als gültig erwies“.
TL;DR – eine schlechte Betriebsstrategie führte zu einer schlechten Merkle-Root-Initialisierung, die dazu führte, dass sich jede Nachricht standardmäßig als gültig erwies
Unruhiges Timing, da das Nomad-Team vor einigen Monaten eine 22-Millionen-Dollar-Runde aufbrachte und kürzlich eine bedeutende Unterstützung ankündigte https://t.co/tsPTigF8XV
— foobar (@0xfoobar) 2. August 2022
Das Nomad-Team bestätigte den Exploit und behauptete, die Ereignisse zu untersuchen.
Uns ist der Vorfall mit der Nomad Token Bridge bekannt. Wir untersuchen derzeit und werden Updates bereitstellen, sobald wir sie haben.
— Nomade (⤭⛓?) (@nomadxyz_) 1. August 2022
In der Zwischenzeit ging Moonbeam in den Wartungsmodus, „um einen Sicherheitsvorfall mit einem im Netzwerk bereitgestellten Smart Contract zu untersuchen“.
1/ Wichtiger Hinweis: Das Moonbeam-Netzwerk ist in den Wartungsmodus gegangen, um einen Sicherheitsvorfall mit einem im Netzwerk bereitgestellten Smart Contract zu untersuchen.
— Moonbeam Network #HarvestMoonbeam (@MoonbeamNetwork) 1. August 2022
1/ Heute früh gab es einen Sicherheitsvorfall, der sich auf das auswirkte @nomadxyz_ Brücken zu Moonbeam. Nahezu alle Vermögenswerte im Ethereum Mainnet Smart Contract von Nomad wurden erschöpft. Wir haben keine Beweise dafür gefunden, dass der jüngste Sicherheitsvorfall mit der Moonbeam-Codebasis zusammenhängt.
— Moonbeam Network #HarvestMoonbeam (@MoonbeamNetwork) 2. August 2022
Peckshield enthüllte, dass es 41 Adressen entdeckte, die ungefähr 152 Millionen US-Dollar (80 %) der gestohlenen Gelder erbeuteten.
Nach Angaben der Blockchain-Sicherheitsfirma gehörte eine der Brieftaschen dem Hacker, der 80 Millionen Dollar von der DeFi-Plattform Rari Capital und Saddle Finance gestohlen hatte.
#PeckShieldAlert PeckShield hat ~41 Adressen entdeckt, die ~152 Millionen Dollar (~80%) in der @nomadxyz_ Bridge-Exploit, einschließlich ~7 MEV-Bots (~7.1 Millionen US-Dollar), @ RariCapital Arbitrum Exploiter (ca. 3.4 Mio. USD) und 6 White Hat (ca. 8.2 Mio. USD).
~10 % dieser Adressen mit ENS-Namen erzielen 6.1 Millionen US-Dollar pic.twitter.com/UUjk7ZiiKE—PeckShieldAlert (@PeckShieldAlert) 2. August 2022
Whitehat-Hacker retten einige der gestohlenen Gelder
Während das Ganze wie eine kostenlose Plünderung für alle erscheint, bestätigen die verfügbaren Informationen, dass einige von denen, die Geld von der Brücke genommen haben, waren Whitehat-Hacker versuchen, Diebe am Zugriff auf die Gelder zu hindern.
Einige, die die Gelder abgezogen haben, haben bestätigt, dass sie beabsichtigen, sie zurückzugeben.
Ich gebe dieses Geld zurück, fbi, bitte beruhigen Sie sich. Nein, ich hatte nicht vor, es zu stehlen, und ja, ich weiß, dass diese Adresse doxed ist
? ? ?.eth
Nomade— ???.eth (@SpaceWigger) 2. August 2022
Einer von ihnen schrieb:
„Das ist ein Whitehack. Ich plane, das Geld zurückzugeben. Warten auf offizielle Mitteilung vom Nomad-Team (bitte geben Sie eine E-Mail-ID für die Kommunikation an). Ich habe keine Vermögenswerte getauscht, selbst nachdem ich wusste, dass USDC eingefroren werden kann. Übertragen von USDC-, FRAX- und CQT-Token von anderen Adressen zur Konsolidierung. Ich wünschte, ich könnte mehr Geld retten, aber es war zu langsam.“
Anders auch identifiziert haben als Whitehat-Hacker und baten das Team, sich mit jemandem in Verbindung zu setzen, der 1 Million Dollar erbeuten konnte.
Ein paar von denen, die sich Brückengelder schnappen, einige, die sich öffentlich gemeldet und angeboten haben, zurückzukehren
???.eth
Rari-Kapitalausbeuter
Darkfi.eth pic.twitter.com/2adlMl6Pj3— foobar (@0xfoobar) 2. August 2022
Quelle: https://cryptoslate.com/nomad-bridge-drained-of-190m-after-hundreds-of-addresses-copy-hackers-code/