Ошибка в смарт-контракте стоила криптовалютному мосту Nomad почти 200 000 000 долларов, и позволила злоумышленникам совершить то, что эксперты называют «первым в истории децентрализованным массовым ограблением».
Мост Nomad, обеспечивающий переводы между блокчейнами Ethereum, Avalanche, Moonbeam, Evmos и Milkomeda, стал жертвой атаки в начале текущего месяца. Впервые произошедшее упомянуто в официальном Twitter-аккаунте Nomad 1 августа 2022 года, как некий «инцидент», но уже 2 августа разработчики сообщили, что «круглосуточно работают над устранением ситуации» и уведомили о случившемся правоохранительные органы.
Эксперт из инвестиционной компании Paradigm, занимающейся криптографией и Web3, объясняет, что атака произошла из-за неправильной конфигурации основного смарт-контракта проекта, допущенной во время обновления. Ошибка позволяла любому, у кого есть хотя бы базовое понимание кода, разрешить самому себе вывод средств.
«Вот почему взлом получился таким хаотичным. Вам не требовались знания о Solidity, Merkle Trees или чем-то подобном. Все, что нужно было сделать — найти транзакцию, которая сработала, найти/заменить адрес другого человека на свой, а затем ретранслировать», — пишет специалист.
В свою очередь компания CertiK, специализирующаяся на блокчейн-безопасности, отмечает, что в данном случае сработал принцип домино, когда люди видели, что средства воруют с использованием вышеописанного метода, и подставляли свои собственные адреса, чтобы воспроизвести атаку. Это привело к тому, что в Twitter назвали «первым в истории децентрализованным массовым ограблением», в ходе которого было похищено около 200 миллионов долларов в криптовалюте.
Теперь некоторые специалисты полагают, что часть украденных средств могла быть превентивно выведена и спасена white hat’ами, личности которых неизвестны. Предполагается, что они могут вернуть «украденное».
Как бы то ни было, в настоящее время TVL (total value locked, количество заблокированных или замороженных средств на смарт-контракте проекта или конкретного пула ликвидности) Nomad составляет всего порядка 77 000 долларов, хотя до инцидента этот показатель превышал 190 миллионов долларов.
Нужно отменить, что это далеко не первое крупное ограбление криптовалютного моста. К примеру, в марте текущего года из-за компрометации блокчейна Ronin, тесно связанного с популярной NFT-игрой Axie Infinity, было украдено более 600 миллионов долларов. Месяцем ранее, в феврале 2022 года, от взлома пострадал блокчейн-мост Wormhole, и тогда злоумышленники похитили свыше 320 миллионов долларов.