Mae'n ymddangos bod pont tocyn Nomad wedi profi camfanteisio diogelwch sydd wedi caniatáu i hacwyr ddraenio cronfeydd y bont yn systematig dros gyfres hir o drafodion.
Mae bron i’r $190.7 miliwn cyfan mewn crypto wedi’i dynnu o’r bont, gyda dim ond $651.54 ar ôl yn y waled, yn ôl platfform olrhain cyllid datganoledig (DeFi) Defi Galwch.
Mae pont Nomad yn cael ei draenio, gallai eich arian fod mewn perygl ac efallai y bydd yn dal i allu tynnu'r arian sy'n weddill ⚠️ https://t.co/RgYmjSV9eB
— stani.lens (,) (@StaniKulechov) Awst 1, 2022
Y cyntaf amheus trafodiad, a allai fod wedi bod yn ddechreuad y camfanteisio parhaus, am 9:32pm UTC pan lwyddodd rhywun i dynnu 100 Bitcoin Lapio (WBTC) gwerth tua $2.3 miliwn o docynnau o'r bont.
Yn fuan ar ôl i’r gymuned godi clychau larwm dros y camfanteisio posibl, cadarnhaodd tîm Nomad am 11:35pm UTC ei fod yn ymwybodol o’r “digwyddiad yn ymwneud â phont docynnau Nomad” gan ychwanegu ei fod “yn ymchwilio i’r digwyddiad ar hyn o bryd.”
Dywedodd tîm Nomad wrth Cointelegraph mewn datganiad e-bost ar Awst 1 ei fod wedi cadw gwasanaethau “cwmnïau blaenllaw ar gyfer cudd-wybodaeth blockchain a fforensig.”
“Mae Nomad wedi hysbysu gorfodi’r gyfraith ac mae’n gweithio bob awr o’r dydd i fynd i’r afael â’r sefyllfa a darparu diweddariadau amserol. Nod Nomad yw nodi'r cyfrifon dan sylw ac olrhain ac adennill yr arian. Mae Nomad yn ddiolchgar i’w ffrindiau het wen niferus a ymatebodd yn gyflym i dynnu’r arian yn ôl a diogelu’r arian.”
Mae'r digwyddiad wedi gweld WBTC, Wrapped Ether (WETH), USD Coin (USDC), Frax (FRAX), Covalent Query Token (CQT), Hummingbird Governance Token (HBOT), IAGON (IAG), Dai (DAI), GeroWallet (GERO), Card Starter (CARDS), Saddle DAO (SDL), a Charli3 (C3) tocynnau a gymerwyd o'r bont.
Rydym yn ymwybodol o'r digwyddiad yn ymwneud â phont docynnau Nomad. Rydym yn ymchwilio ar hyn o bryd a byddwn yn darparu diweddariadau pan fydd gennym ni.
— Nomad (⤭⛓) (@nomadxyz_) Awst 1, 2022
Roedd ecsbloetwyr yn tynnu tocynnau mewn modd anarferol gan fod pob tocyn yn cael ei dynnu mewn enwadau oedd bron yn gyfwerth. Er enghraifft, gweithredwyd trafodion gydag union 202,440.725413 USDC dros 200 o weithiau.
Mae Nomad yn bont tocyn sy'n caniatáu trosglwyddo tocynnau rhwng Avalanche (AVAX), ethereum (ETH), Evmos (EVMOS), Milkomeda C1, a Moonbeam (GLMR).
Yn wahanol i orchestion eraill sydd wedi dod braidd yn gyffredin yn 2022, hyd yn hyn mae gan y digwyddiad hwn gannoedd o gyfeiriadau sy'n derbyn tocynnau yn uniongyrchol o'r bont.
Yn y cyfamser, aeth platfform contract smart Moonbeam o rwydwaith Polkadot, yr oedd ei docyn GLMR brodorol yn un a dargedwyd yn ecsbloetio Nomad, i mewn i cynnal a chadw modd am 11:18pm UTC “i ymchwilio i ddigwyddiad diogelwch.” O ganlyniad, bydd ymarferoldeb Moonbeam fel trafodion defnyddwyr rheolaidd a rhyngweithiadau contract smart yn anabl.
1/ Hysbysiad Pwysig: Mae Rhwydwaith Moonbeam wedi mynd i'r Modd Cynnal a Chadw er mwyn ymchwilio i ddigwyddiad diogelwch gyda chontract smart wedi'i ddefnyddio ar y rhwydwaith.
— Rhwydwaith Moonbeam #HarvestMoonbeam (@MoonbeamNetwork) Awst 1, 2022
Mae'r ymosodiad yn annhymig i'r bont a gafodd ei hadio a'i buddsoddwyr o ganlyniad i godi arian ym mis Ebrill. Ar Orffennaf 29, datgelodd y prosiect mewn a tweet bod Coinbase Ventures, OpenSea, a phum cwmni mawr arall yn y diwydiant crypto wedi cymryd rhan mewn ymgyrch codi arian rownd hadau mis Ebrill a esgorodd ar brisiad o $225 miliwn i Nomad.
Wedi'i ddiweddaru gyda datganiad gan Nomad am y digwyddiad a anfonwyd at Cointelegraph ar Awst 1.
Ffynhonnell: https://cointelegraph.com/news/nomad-token-bridge-drained-of-190m-in-funds-in-security-exploit