Yn oriau mân Awst 2, postiodd Nomad Bridge rybudd ei fod yn ymwybodol o gamfanteisio parhaus. Yn yr oriau canlynol, draeniwyd cronfeydd y protocol cyfan o fwy na $190 miliwn.
Torrodd datblygwr cymunedol crypto a het wen 'samczsun' i lawr y gadwyn o ddigwyddiadau, gan esbonio beth ddigwyddodd. Fe labelodd yr ymosodiad fel “un o’r haciau mwyaf anhrefnus a welodd Web3 erioed.”
1/ Nomad newydd gael ei ddraenio am dros $150M yn un o'r haciau mwyaf anhrefnus a welodd Web3 erioed. Sut yn union y digwyddodd hyn, a beth oedd yr achos sylfaenol? Gadewch i mi fynd â chi y tu ôl i'r llenni? pic.twitter.com/Y7Q3fZ7ezm
- samczsun (@samczsun) Awst 1, 2022
Mae Nomad yn bont symbolaidd ar gyfer trosglwyddiadau traws-gadwyn rhwng Ethereum, Avalanche, Milkomeda, a Moonbeam.
Cronfeydd Nomad wedi'u Draenio
Rhannodd ymchwilwyr drydariad yn sianel ETHSecurity Telegram yn dangos trafodion lluosog o arian yn gadael y bont. Ar yr olwg gyntaf, roedd yn ymddangos ei fod yn gamgyfluniad mewn degolion tocyn, ond darganfu samczsun:
“Fodd bynnag, ar ôl rhywfaint o gloddio â llaw poenus ar rwydwaith Moonbeam, cadarnheais, er bod trafodiad Moonbeam wedi pontio 0.01 WBTC, rhywsut roedd trafodiad Ethereum wedi pontio i 100 WBTC.”
Yr hyn sy'n gwneud y camfanteisio hwn yn wahanol yw na chafodd y trafodion eu 'profi' a'u gweithredu'n uniongyrchol. “Mae gallu prosesu neges heb ei phrofi yn gyntaf yn hynod o Ddim yn Dda,” meddai samczsun. Gwnaeth y codydd ychydig mwy o gloddio a chanfod diffyg angheuol yn y contract smart 'Replica' a ddechreuwyd yn ystod uwchraddiad arferol Nomad.
Ychwanegodd fod hyn yn anhrefnus oherwydd nad oedd angen unrhyw wybodaeth dechnegol ar y lladron crypto. Roedd angen iddynt ddod o hyd i drafodiad a oedd yn gweithio, rhoi eu cyfeiriad eu hunain yn lle'r targed, a'i ail-ddarlledu.
“Roedd uwchraddiad arferol yn nodi’r hash sero fel gwraidd dilys, a gafodd yr effaith o ganiatáu i negeseuon gael eu ffugio ar Nomad. Fe wnaeth ymosodwyr gamddefnyddio hyn i gopïo/gludo trafodion a draenio’r bont yn gyflym mewn ffordd ddi-fflach i bawb,”
TVL i Sero
Mae Nomad hyd yn oed wedi darganfod cyfeiriadau twyllodrus yn ceisio dwyn arian a ddychwelwyd i'r bont.
Rydym yn ymwybodol o ddynwaredwyr yn esgus bod yn Nomad ac yn darparu cyfeiriadau twyllodrus i gasglu arian. Nid ydym yn darparu cyfarwyddiadau eto i ddychwelyd arian pontydd. Diystyru cyfathrebiadau o bob sianel ac eithrio sianel swyddogol Nomad: @nomadxyz_
— Nomad (⤭⛓?) (@nomadxyz_) Awst 2, 2022
Yn ôl Defi Llama, Mae cyfanswm gwerth Nomad dan glo wedi cwympo o $190.38 miliwn i $5,336 dros yr ychydig oriau diwethaf.
Nomad yw'r ymosodiad pont tocyn diweddaraf eleni yn dilyn campau proffil uchel Pont Ronin, Wormhole, a Harmony.
Binance Am Ddim $ 100 (Unigryw): Defnyddiwch y ddolen hon i gofrestru a derbyn $ 100 am ddim a 10% oddi ar ffioedd ar Binance Futures y mis cyntaf (termau).
Cynnig Arbennig PrimeXBT: Defnyddiwch y ddolen hon i gofrestru a nodi cod POTATO50 i dderbyn hyd at $7,000 ar eich blaendaliadau.
Ffynhonnell: https://cryptopotato.com/nomad-bridge-suffers-190m-loss-in-chaotic-copy-paste-attack/