Кочевой мост подвергся рейду на сумму более 190 миллионов долларов

Кросс-сетевой мост Nomad Bridge стал главной мишенью хакеров и… мародеров, и черт знает чего еще…

На этой неделе был взломан протокол Nomad Bridge, обеспечивающий взаимодействие между различными блокчейнами. Хакеры воспользовались уязвимостями моста и похитили активы на сумму более 190 миллионов долларов.

Активы, затронутые инцидентом, включают WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL и C3. Nomad — следующее имя, присоединившееся к списку неудачных мостов, подвергшихся крупным атакам, после Axie Infinity и Horizon.

Кочевой мост попал под удар - с размахом

Первая подозрительная транзакция была совершена 2 августа, когда хакеры попытались перевести с моста 100 Wrapped Bitcoin (WBTC), что эквивалентно 2.3 миллиона долларов.

Обнаружив проблему возможных дальнейших эксплойтов, оппортунисты воспользовались лазейкой, скопировали информацию о транзакции хакера, изменили исходный адрес на свой и успешно сняли деньги.

На этот раз эксплойт легко воспроизвести, что объясняет, почему это самая быстрая и хаотичная атака.

Любой пользователь Discord проекта может просто скопировать первую транзакцию злоумышленника и изменить адрес, а затем нажать кнопку «Отправить» через Etherscan, и они случайным образом получат тысячу долларов за txid.

Как это вообще могло случиться?

Поскольку инцидент все еще расследуется, взломанный проект не предоставил никаких дополнительных объяснений. Тем не менее, некоторые исследователи и эксперты в области криптографии указали жизнеспособные ответы.

Дикий Запад финансов

По словам исследователя Paradigm Сэма Сана, уязвимость связана с другой ошибкой, обнаруженной и сообщенной Nomad подразделением аудита смарт-контрактов Quantstamp в начале июня.

Проект решил другую проблему, но в процессе этого он изменился на root 0x000…, что привело к последствиям.

Каждая транзакция будет проходить этап проверки (верификации), чтобы убедиться, что она действительна. И хотя для этой проверки необходим Root, здесь разработчик оставил его равным 0x00, и этот идентификационный код Root автоматически гарантирует, что все транзакции действительны.

Команда Nomad выпустила предупреждения о событии, связанном с мостом токена Nomad, вскоре после того, как узнала об этом.

Согласно официальной ветке Nomad в Твиттере, мост Nomad был закрыт после атаки. Команда заявила, что работает с правоохранительными органами для дальнейшего расследования инцидента.

А именно,

«Нам известно о мошенниках, выдающих себя за кочевников и предоставляющих мошеннические адреса для сбора средств. Мы еще не даем инструкций по возврату промежуточных средств. Игнорируйте сообщения со всех каналов, кроме официального канала Nomad: @nomadxyz_».

Кочевник - отличная идея

Nomad — это мост, который позволяет передавать токены между различными блокчейнами, такими как Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 и Moonbeam (GLMR), через систему обмена сообщениями Nomad.

Протокол имеет широкий спектр возможностей применения и может использоваться для разработки межсетевых приложений.

Недавно Nomad сообщила, что успешно привлекла 22 миллиона долларов от ведущих отраслевых деятелей, включая Coinbase Ventures, OpenSea и пяти других крупных игроков, в рамках начального финансирования под руководством Polychain в апреле. Финансирование превысило оценку компании до 225 миллионов долларов.

По сравнению с атаками на межсетевые мосты в 2021 году, эти атаки в этом году нанесли серьезный ущерб самому проекту, венчурным капиталистам и проектам, связанным с мостами, из-за характера подключения межсетевого моста.

Тот факт, что блокчейн децентрализован, упрощает его защиту. Но протоколы и программное обеспечение все было сделано людьми, так что не исключено, что есть слабые места.

Недавние атаки на самом деле не нацелены на саму платформу блокчейна. Вместо этого они нацелены на приложения как игрыкошельки, обмен, и мосты.

Это веб-приложения и мобильные приложения, использующие блокчейн, но они по-прежнему имеют те же недостатки безопасности, что и традиционное программное обеспечение, поскольку они по-прежнему являются веб-приложениями и мобильными приложениями.

С начала года было взломано четыре кроссчейн-моста, в том числе Wormhole, Ronin, Horizon и Nomad. Ни один из них не имеет убытков менее 100 миллионов долларов.

Cross-chain Bridge улучшил функциональную совместимость блокчейна, что привело к лучшему опыту пользователей и разработчиков блокчейна. Однако из-за специфических уязвимостей эти мосты в последнее время стали популярной мишенью для злоумышленников.