На прошлой неделе хакеры похитили у криптовалютного моста Nomad почти 200 000 000 долларов из-за ошибки в смарт-контракте. Теперь разработчики просят злоумышленников вернуть не менее 90% украденного, и тогда хакеры смогут оставить себе оставшиеся 10% в качестве своеобразной bug bounty награды и считать себя white hat’ами, не опасаясь юридического преследования.
Напомню, что атака произошла из-за неправильной конфигурации основного смарт-контракта проекта, допущенной во время очередного обновления. Ошибка позволяла любому, у кого есть хотя бы базовое понимание кода, разрешить самому себе вывод средств. Специалисты объясняли, что нужно было лишь «найти транзакцию, которая сработала, найти/заменить адрес другого человека на свой, а затем ретранслировать».
В итоге сработал принцип домино, когда люди видели, что средства воруют с использованием вышеописанного метода, и подставляли свои собственные адреса, чтобы воспроизвести атаку. Это привело к тому, что в Twitter назвали «первым в истории децентрализованным массовым ограблением», в ходе которого было похищено около 200 000 000 долларов в криптовалюте.
Теперь разработчики Nomad в Twitter предлагают хакерам вернуть украденное и прикладывают к своему сообщению адрес кошелька Ethereum, на который нужно отправить средства. При этом в компании предупредили, что «Nomad продолжает работать со сообществом, правоохранительными органами и блокчейн-аналитиками, чтобы обеспечить возврат всех средств».
Интересно, что хотя сама компания обещает не преследовать таких white hat’ов и постараться защитить их интересы, разработчики отмечают, что все же не могут гарантировать, что ими не заинтересуются правоохранительные органы или третьи лица.
Сообщается, что по состоянию на 7 августа 2022 года проекту действительно вернули около 32 000 000 долларов, которые поступили с 36 разных кошельков.
