Около $190 млн долларов было украдено у пользователей блокчейн-моста Nomad, позволяющего отправлять криптовалюту между разными блокчейнами, что было названо «децентрализованным ограблением».
Плохой код привел к тому, что $190 млн были выведены из моста Nomad, протокола криптовалюты, который позволяет перемещать криптовалюту между различными блокчейнами. В ходе «децентрализованного ограбления» ошибка в коде Nomad позволяла преступникам красть деньги, просто копируя и вставляя скрипт.
Все блокчейны могут быть неразличимы для непосвященных, но криптотрейдеры часто используют несколько разных, таких как ethereum, avalanche и solana. Обмен токенами между разными блокчейнами, например, получение биткойнов и их использование в блокчейне Эфириума или получение эфирных монет и их использование в Солане, может быть довольно сложным. Чтобы удовлетворить этот спрос, несколько компаний, в том числе Nomad, создали мосты «кросс-чейн». Вы вносите криптовалюту в смарт-контракт на одном блокчейне и «соединяете» эти токены с другим блокчейном.
Ключевой момент, связанный с эксплойтом, заключается в том, что весь этот процесс зависит от криптовалюты, заблокированной в смарт-контракте. Один эфир, депонированный в смарт-контракте Эфириума, выступает в качестве залога для эфира, который пользователь получает, скажем, в блокчейне Avalanche. До эксплойта у Nomad было более $190 млн в виде средств людей в смарт-контракте. На момент написания в смарт-контракте осталось заблокированным только $9 тыс.
К сожалению, «обновление» этого смарт-контракта привело к эксплойту, которым мог воспользоваться любой. Децентрализованные финансы, будучи анонимными и подверженными темным маневрам, означали, что $190 млн были выкачаны из протокола за несколько часов.
Вам нужно знать язык разработки Ethereum, Solidity, чтобы понимать технические аспекты. Суть в том, что смарт-контракт сломался. Некоторые транзакции, которые не должны быть одобрены, могут быть протолкнуты и реплицированы. Похоже, что подозрительные транзакции начали происходить около 9:13 утра по тихоокеанскому времени, когда несколько кошельков сняли с моста 100 биткойнов ($1,7 млн). Все, что нужно было сделать – скопировать и вставить точный сценарий, который использовал мошенник, заменив номер кошелька исходного эксплуататора своим собственным, и протолкнуть его. Другие выводили средства в эфире и стабильной криптовалюте USDC (USD Coin), среди прочих токенов.
«Вот почему взлом был таким хаотичным», — сказал Сэм Сан, исследователь криптоинвестиционной компании Paradigm, в твиттере, разбирающем эксплойт. «Вам не нужно было знать о Solidity или Merkle Trees или о чем-то подобном. Все, что вам нужно было сделать, это найти транзакцию, которая сработала, найти/заменить адрес другого человека своим, а затем ретранслировать его».
«Легко, как CTRL-C, CTRL-V», — написал в Твиттере другой блокчейн-сыщик.
Поскольку большинство людей копировали и вставляли информацию, средства распределялись одинаковыми порциями. Например, были сотни транзакций, в которых люди снимали $202 440 в стабильной валюте USDC.
В блокчейн-эквиваленте типов «самых тупых преступников Америки», которые грабят заправочные станции с бейджем с собственным именем, некоторые люди использовали свой смарт-контракт с адресами общедоступных кошельков, которые предназначены для отслеживания. Многие отправляли деньги обратно. Другие утверждали, что действуют добросовестно, выводя средства, которые они обязались защитить, и отправлять обратно, когда смарт-контракт будет защищен.
«Нам известно об инциденте, связанном с мостом токенов Nomad», говорится в заявлении Nomad в Твиттере. «В настоящее время мы проводим расследование и предоставим обновления, когда они у нас появятся».
