• В результате атаки кроссчейн-мост Nomad лишился всей ликвидности — $190 млн. 
  • Недавнее обновление одного из смарт-контрактов Nomad упростило хакерам возможность подделывать транзакции. Они могли выводить с моста активы, которые им не принадлежали. 
  • В атаке задействованы сотни адресов.

Кроссчейн-мост Nomad был атакован, в результате чего злоумышленники вывели из протокола практически всю ликвидность в токенах WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL и C3. Общая стоимость криптоактивов, которые были утеряны в результате атаки, составила $190 млн. 

Задетая атакой платформа Moonbeam из сети Polkadot (ее токен GLMR был также украден) перешла в режим обслуживания «для расследования инцидента безопасности». 

Nomad, как и другие кроссчейн-мосты, позволяет перемещать токены из одного блокчейна в другой. Чаще всего мосты блокируют токены в смарт-контракте в одной сети и выпускают их обернутый вариант в другой сети. По такому же принципу работал и Nomad. 

Команда Nomad признала атаку и объявила о проведении расследования, сообщив об инциденте в правоохранительные органы. Исследователь инвестиционной компании Paradigm с ником @samczsun в Twitter рассказал о причинах атаки. Он отметил, что недавнее обновление одного из смарт-контрактов Nomad упростило хакерам возможность подделывать транзакции. Они могли выводить с моста активы, которые им не принадлежали. 

Как правило, атаки на блокчейн-проекты осуществляет один хакер или скоординированная группа хакеров. Здесь же атака, скорее всего, была осуществлена многими не связанными между собой людьми, потому что она была относительно легкой. 

«Вам не нужно было знать о Solidity или Merkle Trees. Все, что вам нужно было сделать, это найти транзакцию, которая сработала, затем заменить адрес другого человека на свой и ретранслировать его», — объяснил @samczsun.

В атаке задействованы сотни адресов. Но эксперты допускают, что хакер или группа хакеров могли специально сконструировать транзакции так, чтобы создать видимость участия в атаке нескольких людей.

Разработчики Nomad отметили, что часть средств могли вывести белые хакеры с целью защитить их. На данный момент один человек уже сообщил, что готов выступить в роли белого хакера и вернуть средства. 

Атаки на кроссчейн-мосты уже случались ранее. Крупнейшей из известных является атака на мост блокчейн-игры Axie Infinity Ronin, в результате которой злоумышленники заполучили $615 млн. Виталик Бутерин и вовсе назвал такие решения небезопасными. Nomad убеждал инвесторов, что его решение принципиально более безопасное. В апреле в него инвестировали Coinbase Ventures и OpenSea.