پل نماد Nomad در 1 آگوست مورد سوء استفاده قرار گرفت که به چندین نفر اجازه داد تا پل 190.7 میلیون دلاری را تخلیه کنند.
اولین نشانه مشکل در حدود ساعت 9:23 بعد از ظهر UTC پس از یک هکر شروع شد سوء استفاده قرار گیرد پل برای برداشت 100 WBTC به ارزش 2.3 میلیون دلار.
چند نفر دیگر کد اولین تراکنش مشکوک را کپی کردند و آدرس را تغییر دادند تا در تخلیه وجوه شرکت کنند.
1/ Nomad بیش از 150 میلیون دلار در یکی از آشفتهترین هکهایی که Web3 تا به حال دیده است، تخلیه شد. دقیقاً چگونه این اتفاق افتاد و علت اصلی آن چه بود؟ اجازه می دهید شما را به پشت صحنه ببرم؟ pic.twitter.com/Y7Q3fZ7ezm
- samczsun (samczsun) اوت 1، 2022
پل Nomad اجازه انتقال توکن بین اتریوم (ETH), بهمن (AVAX), Evmos (EVMOS، پرتو ماه (GLMRو بلاک چین Milkomeda C1.
پیامهایی که در سرورهای Discord عمومی از افراد تصادفی ظاهر میشوند که 3 تا 20 هزار دلار از پل Nomad میگیرند - تنها کاری که باید انجام میداد این بود که اولین تراکنش هکر را کپی کنید و آدرس را تغییر دهید، سپس ارسال از طریق Etherscan را فشار دهید. به روش واقعی رمزنگاری - اولین سرقت غیرمتمرکز. https://t.co/jWV9AamBer
- فاتمن (fatmanterra) اوت 2، 2022
برخلاف دیگر اکسپلویتهای کریپتو که تنها چند آدرس مستقیماً با هک مرتبط هستند، صدها آدرس مسئول تخلیه تقریباً تمام ۱۹۰.۷ میلیون دلاری پل Nomad بودند که در آن قفل شده بود.
2/ ظاهراً کیف پول های متعددی در این هک دخیل هستند و وجوه را با موفقیت تخلیه کرده اند.
در مجموع 39 میلیون دلار USDC در یک تراکنش و برداشت 202,440 دلار چندین بار از پل به سرقت رفته است. pic.twitter.com/ciXfv3Ebpo
- بیدار شد؟ (@Manikumar111111) اوت 2، 2022
به طرز عجیبی، برخی از تراکنشهای اکسپلویت ارزش یکسانی داشتند. به عنوان مثال، بیش از 200 تراکنش به ارزش 202,440.725413 USDC وجود داشت.
چندین توکن مانند WBTC، WETH، USDC، FRAX، CQT، HBOT، IAG، DAI، GERO، CARDS، SDL و C3 از این پل به سرقت رفتند.
مطابق با Oxfoobar، این حمله به دلیل استراتژی عملیاتی ضعیف رخ داد که باعث "تولید اولیه بد ریشه مرکل شد که منجر به اثبات اعتبار هر پیام به طور پیش فرض شد."
TL;DR - یک استراتژی عملیاتی ضعیف منجر به اولیه سازی نامناسب merkle root شد که منجر به اثبات اعتبار هر پیام به طور پیش فرض شد.
زمان سختی که تیم Nomad چندین ماه پیش 22 میلیون دلار جمع آوری کرد و اخیراً حمایت قابل توجهی را اعلام کرد https://t.co/tsPTigF8XV
- foobar (@ 0xfoobar) اوت 2، 2022
تیم Nomad این اکسپلویت را تایید کرد و مدعی شد که در حال بررسی وقایع است.
ما از حادثه مربوط به پل نماد عشایر مطلع هستیم. ما در حال حاضر در حال بررسی هستیم و بهروزرسانیهایی را که در اختیار داشته باشیم ارائه خواهیم کرد.
— عشایر (⤭⛓؟) (@nomadxyz_) اوت 1، 2022
در همین حال، Moonbeam برای بررسی یک حادثه امنیتی با قرارداد هوشمند مستقر در شبکه به حالت تعمیر و نگهداری رفت.
1/ اطلاعیه مهم: شبکه Moonbeam به منظور بررسی یک حادثه امنیتی با قرارداد هوشمند مستقر در شبکه به حالت Maintenance رفته است.
— شبکه پرتو ماه #HarvestMoonbeam (@MoonbeamNetwork) اوت 1، 2022
1/ اوایل امروز، یک حادثه امنیتی رخ داد که بر روی آن تأثیر گذاشت @nomadxyz_ پل هایی به پرتو ماه تقریباً تمام دارایی های قرارداد هوشمند Nomad's Ethereum Mainnet تخلیه شده است. ما هیچ مدرکی پیدا نکردیم که حادثه امنیتی اخیر مربوط به پایگاه کد Moonbeam باشد.
— شبکه پرتو ماه #HarvestMoonbeam (@MoonbeamNetwork) اوت 2، 2022
Peckshield فاش کرد که 41 آدرس را شناسایی کرده است که تقریباً 152 میلیون دلار (80٪) از وجوه دزدیده شده را به دست آورده است.
به گفته شرکت امنیتی بلاک چین، یکی از کیف پول ها متعلق به هکری است که 80 میلیون دلار از پلتفرم DeFi Rari Capital و Saddle Finance سرقت کرده است.
#PeckShieldAlert PeckShield 41 آدرس را شناسایی کرده است که 152 میلیون دلار (~80٪) در @nomadxyz_ اکسپلویت پل، از جمله 7 ربات MEV (7.1 میلیون دلار)، RariCapital بهرهبردار آربیتروم (3.4 میلیون دلار) و 6 کلاه سفید (8.2 میلیون دلار).
10% از این آدرسها با نام ENS 6.1 میلیون دلار دریافت میکنند pic.twitter.com/UUjk7ZiiKE- peckshieldalert (peckshieldalert) اوت 2، 2022
هکرهای Whitehat برخی از وجوه دزدیده شده را ذخیره می کنند
در حالی که به نظر می رسد همه چیز برای همه غارت ها رایگان است، اطلاعات موجود تأیید می کند که برخی از کسانی که از پل پول گرفتند هکرهای whitehat به دنبال جلوگیری از دسترسی سارقان به وجوه
برخی از کسانی که این وجوه را تخلیه کردند تأیید کرده اند که قصد دارند آنها را بازگردانند.
من این پول را پس می دهم، fbi pls آرام باشید. نه من قصد سرقت آن را نداشتم و بله می دانم که این آدرس دزدی شده است
? ? ?.eth
خانه بدوش— ???.eth (@SpaceWigger) اوت 2، 2022
یکی از آنها نوشت:
"این یک وایت هک است. من قصد دارم وجوه را برگردانم. در انتظار ارتباط رسمی از تیم Nomad (لطفا یک آیدی ایمیل برای ارتباط ارائه دهید). من حتی پس از اطلاع از اینکه USDC را می توان مسدود کرد، هیچ دارایی را مبادله نکردم. توکن USDC، FRAX و CQT را از آدرسهای دیگر به منظور تجمیع انتقال داد. ای کاش می توانستم بودجه بیشتری را نجات دهم اما خیلی کند بود.»
دیگران نیز شناسایی کرده اند به عنوان هکرهای Whitehat و از تیم درخواست کرد که با شخصی که توانسته بود 1 میلیون دلار دریافت کند، در تماس باشند.
چند نفر از کسانی که سرمایههای پل را تصاحب میکنند، برخی علناً آمدهاند و پیشنهاد بازگشت دادهاند
???.eth
بهره بردار سرمایه راری
darkfi.eth pic.twitter.com/2adlMl6Pj3- foobar (@ 0xfoobar) اوت 2، 2022
منبع: https://cryptoslate.com/nomad-bridge-drained-of-190m-after-hundreds-of-addresses-copy-hackers-code/