De Nomad token bridge-hack op 3 augustus was de op drie na grootste crypto-hack in de geschiedenis, waarbij bijna $ 200 miljoen aan crypto-activa van het platform werd afgevoerd. Maar meer dan de hack, kreeg de methodologie erachter veel aandacht.
De exploit vond plaats vanwege een kwetsbaarheid in een slim contract waarbij honderden andere gebruikers dan de hacker betrokken raakten en zoveel mogelijk wegnamen door simpelweg de transactiegegevens die door de oorspronkelijke hacker werden gebruikt te kopiëren en plakken en het portefeuilleadres in die van hen te veranderen. Het evenement werd later door velen als een gedecentraliseerde overval beschouwd vanwege de betrokkenheid van normale leden van de gemeenschap.
Later, de Nomad-team onthuld aan Cointelegraph dat sommige van de mensen die geld aannamen welwillend handelden om te voorkomen dat de crypto in verkeerde handen zou vallen.
In de nasleep van de hack ontdekte de crypto-analysegroep BestBrokers dat de eerste exploit plaatsvond op 1 augustus, waardoor 400 Bitcoin (BTC) in vier verschillende transacties. De hackers leidden later alle 22,880 Ether (ETH), stapte vervolgens over naar de meer dan $ 107 miljoen aan stablecoins en begon uiteindelijk de door het project ondersteunde altcoins om te leiden.
Het incident heeft WBTC, Wrapped Ether (WETH), USD Coin (USDC), Frax (FRAX), Covalent Query Token (CQT), Hummingbird Governance Token (HBOT), IAGON (IAG), Dai (DAI), GeroWallet (GERO), Card Starter (CARDS), Saddle DAO (SDL) en Charli3 (C3) tokens genomen van de brug.
Zie ook: Lopende op Solana gebaseerde portemonnee-hack ziet miljoenen leeglopen
Sommige altcoins die van het platform werden gestolen, leden een daling van maar liefst 94%. Gegevens verzamelde door het analysebureau bleek dat de volgende altcoins de grootste ineenstorting leden na de hack:
De misbruikte smart contract-kwetsbaarheid werd benadrukt in een beveiligingsauditrapport van Quantstamp in de eerste week van juni. Het Nomad-team reageerde door te beweren dat het "in feite onmogelijk is om de voorafbeelding van het lege blad te vinden."
De auditors waren van mening dat het Nomad-team het probleem destijds verkeerd had begrepen en binnen twee maanden was dezelfde kwetsbaarheid de reden voor bijna $ 200 miljoen aan verliezen.
CoinTelegraph nam contact op met Nomad met vragen over de ontdekking en zal het verhaal dienovereenkomstig bijwerken.
Bron: https://cointelegraph.com/news/nomad-reportedly-ignored-security-vulnerability-that-led-to-190m-exploit