A ponte de token Nomad sofreu uma exploração em 1º de agosto que permitiu que várias pessoas drenassem a ponte de US$ 190,7 milhões.
O primeiro sinal de problema começou por volta das 21h23 UTC depois que um hacker explorado a ponte para retirar 100 WBTCs no valor de US$ 2,3 milhões.
Vários outros copiaram o código da primeira transação suspeita e mudaram o endereço para participar da drenagem dos fundos.
1/ Nomad acabou de ser drenado por mais de US$ 150 milhões em um dos hacks mais caóticos que a Web3 já viu. Como exatamente isso aconteceu e qual foi a causa raiz? Permita-me levá-lo aos bastidores 👇 pic.twitter.com/Y7Q3fZ7ezm
— samczsun (@samczsun) 1º de agosto de 2022
A ponte Nomad permitiu a transferência de tokens entre Ethereum (ETH), Avalanche (AVAX), Evmos (EVMOS), Raio de lua (GLMR) e blockchains Milkomeda C1.
Mensagens surgindo em servidores públicos do Discord de pessoas aleatórias pegando $ 3K- $ 20K da ponte Nomad – tudo o que precisava fazer era copiar a transação do primeiro hacker e alterar o endereço, depois clicar em enviar através do Etherscan. Na verdadeira moda criptográfica – o primeiro roubo descentralizado. https://t.co/jWV9AamBer
— FatMan (@FatManTerra) 2 de agosto de 2022
Ao contrário de outras explorações de criptografia em que apenas alguns endereços estão diretamente vinculados ao hack, centenas de endereços foram responsáveis por drenar a ponte Nomad de quase todos os US$ 190,7 milhões bloqueados nela.
2/ Aparentemente, existem várias carteiras envolvidas neste hack e drenaram os fundos com sucesso.
Totalmente 39 milhões de dólares em USDC foram roubados em uma única transação, retirando US$ 202.440 várias vezes da ponte. pic.twitter.com/ciXfv3Ebpo
— O brusco acordado🚀 (@Manikumar111111) 2 de agosto de 2022
Estranhamente, algumas das transações de exploração tinham o mesmo valor. Por exemplo, houve mais de 200 transações de exatamente 202.440,725413 USDC.
Vários tokens como WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL e C3 foram roubados da ponte.
De acordo com Oxfoobaro ataque aconteceu devido a uma estratégia operacional ruim, causando “inicialização de raiz Merkle ruim, que levou a que todas as mensagens fossem comprovadas como válidas por padrão”.
TL;DR – uma estratégia operacional ruim levou a uma inicialização ruim da raiz do merkle, que levou a que todas as mensagens fossem comprovadas como válidas por padrão
Momento difícil, pois a equipe Nomad levantou uma rodada de US $ 22 milhões há vários meses e anunciou recentemente um apoio significativo https://t.co/tsPTigF8XV
— foobar (@0xfoobar) 2 de agosto de 2022
A equipe do Nomad confirmou a exploração e alegou estar investigando os eventos.
Estamos cientes do incidente envolvendo a ponte de token Nomad. No momento, estamos investigando e forneceremos atualizações quando as tivermos.
— Nômade (⤭⛓🏛) (@nomadxyz_) 1º de agosto de 2022
Enquanto isso, o Moonbeam entrou no modo de manutenção “para investigar um incidente de segurança com um contrato inteligente implantado na rede”.
1/ Aviso importante: A Rede Moonbeam entrou no Modo de Manutenção para investigar um incidente de segurança com um contrato inteligente implantado na rede.
— Rede Moonbeam #HarvestMoonbeam (@MoonbeamNetwork) 1º de agosto de 2022
1/ Hoje cedo, houve um incidente de segurança que impactou o @nomadxyz_ pontes para Moonbeam. Quase todos os ativos do contrato inteligente Ethereum Mainnet da Nomad foram drenados. Não encontramos nenhuma evidência de que o recente incidente de segurança estava relacionado à base de código Moonbeam.
— Rede Moonbeam #HarvestMoonbeam (@MoonbeamNetwork) 2 de agosto de 2022
A Peckshield revelou que detectou 41 endereços que capturaram cerca de US$ 152 milhões (80%) dos fundos roubados.
De acordo com a empresa de segurança blockchain, uma das carteiras pertencia ao hacker que roubou US$ 80 milhões da plataforma DeFi Rari Capital e Saddle Finance.
#PeckShieldAlerta PeckShield detectou ~41 endereços capturados ~$152M (~80%) no @nomadxyz_ exploração de ponte, incluindo ~ 7 MEV Bots (~ $ 7,1 milhões), @RariCapital Explorador de Arbitrum (~$3,4M) e 6 White Hat (~$8,2M).
~ 10% desses endereços com nomes ENS recebendo US$ 6,1 milhões pic.twitter.com/UUjk7ZiiKE— PeckShieldAlert (@PeckShieldAlert) 2 de agosto de 2022
Hackers do Whitehat salvam parte dos fundos roubados
Embora a coisa toda pareça livre para todos os saques, as informações disponíveis confirmam que alguns dos que tiraram fundos da ponte foram hackers de chapéu branco tentando impedir que ladrões acessem os fundos.
Alguns que drenaram os fundos confirmaram que planejam devolvê-los.
estou devolvendo esse dinheiro, fbi, por favor, acalme-se. não, eu não planejei roubá-lo e sim, eu sei que este endereço está doxado
🍉 🍉 🍉.eth
Nômade— 🍉🍉🍉.eth (@SpaceWigger) 2 de agosto de 2022
Um deles escreveu:
“Isso é um whitehack. Pretendo devolver os fundos. Aguardando comunicação oficial da equipe Nomad (por favor, forneça um ID de e-mail para comunicação). Não troquei nenhum ativo mesmo depois de saber que o USDC pode ser congelado. Transferiu o token USDC, FRAX e CQT de outros endereços para consolidar. Eu gostaria de poder resgatar mais fundos, mas foi muito lento.”
Outros também identificaram como hackers whitehat e pediu que a equipe entrasse em contato, incluindo alguém que conseguiu US$ 1 milhão.
Alguns desses arrecadando fundos da ponte, alguns que se apresentaram publicamente e se ofereceram para retornar
🍉🍉🍉.eth
Explorador de Capital Rari
darkfi.eth pic.twitter.com/2adlMl6Pj3— foobar (@0xfoobar) 2 de agosto de 2022
