En las primeras horas del 2 de agosto, Nomad Bridge publicó una alerta de que estaba al tanto de un exploit en curso. En las horas siguientes, se agotaron los fondos de todo el protocolo de más de $ 190 millones.
El desarrollador de la comunidad criptográfica y el ‘samczsun’ de sombrero blanco rompieron la cadena de eventos y explicaron lo que sucedió. Calificó el ataque como “uno de los hacks más caóticos que Web3 jamás haya visto”.
1/ Nomad acaba de ser drenado por más de $ 150 millones en uno de los hacks más caóticos que Web3 jamás haya visto. ¿Cómo sucedió exactamente esto y cuál fue la causa raíz? Permíteme llevarte detrás de escena 👇 pic.twitter.com/Y7Q3fZ7ezm
– samczsun (@samczsun) 1 de agosto de 2022
Nomad es un puente simbólico para transferencias entre cadenas entre Ethereum, Avalanche, Milkomeda y Moonbeam.
Fondos nómadas agotados
Los investigadores compartieron un tuit en el canal ETHSecurity Telegram que mostraba múltiples transacciones de fondos saliendo del puente. A primera vista, parecía ser una mala configuración en los tokens decimales, pero samczsun descubrió:
“Sin embargo, después de una dolorosa excavación manual en la red de Moonbeam, confirmé que si bien la transacción de Moonbeam superó 0.01 WBTC, de alguna manera la transacción de Ethereum superó los 100 WBTC”.
Lo que hace que este exploit sea diferente es que las transacciones no fueron ‘probadas’ y ejecutadas directamente. “Ser capaz de procesar un mensaje sin probarlo primero es extremadamente malo”, dijo samczsun. El codificador investigó un poco más y encontró una falla fatal en el contrato inteligente ‘Réplica’ inicializado durante una actualización de rutina de Nomad.
Agregó que esto era caótico porque los ladrones de criptomonedas no necesitaban ningún conocimiento técnico. Solo necesitaban encontrar una transacción que funcionara, reemplazar la dirección de destino con la suya y retransmitirla.
“Una actualización de rutina marcó el hash cero como una raíz válida, lo que tuvo el efecto de permitir que los mensajes se falsificaran en Nomad. Los atacantes abusaron de esto para copiar/pegar transacciones y rápidamente vaciaron el puente en una frenética lucha contra todos”.
TVL a cero
Nomad incluso ha descubierto direcciones fraudulentas que intentan robar los fondos devueltos al puente.
Somos conscientes de los suplantadores que se hacen pasar por nómadas y proporcionan direcciones fraudulentas para recaudar fondos. Todavía no estamos dando instrucciones para devolver los fondos puente. Ignore las comunicaciones de todos los canales que no sean el canal oficial de Nomad: @nomadxyz_
— Nómada (⤭⛓🏛) (@nomadxyz_) 2 de agosto de 2022
De acuerdo a DefiLlamael valor total bloqueado de Nomad se ha desplomado de 190,38 millones de dólares a 5336 dólares en las últimas horas.
Nomad es el último ataque de puente token este año después de las hazañas de alto perfil de Ronin Bridge, Wormhole y Harmony.
Binance Free $100 (Exclusivo): utilice este enlace para registrarse y recibir $100 gratis y un 10 % de descuento en las tarifas del primer mes de Binance Futures (términos).
Oferta especial de PrimeXBT: use este enlace para registrarse e ingrese el código POTATO50 para recibir hasta $ 7,000 en sus depósitos.