Quase 90% dos endereços que participaram do hack de US$ 186 milhões da Nomad Bridge na semana passada foram identificados como “copiadores”, levando um total de US$ 88 milhões em tokens em 1º de agosto, revelou um novo relatório.
Em um blog da Coinbase na quarta-feira, Autoria por Peter Kacherginsky, principal pesquisador de inteligência de ameaças blockchain da Coinbase, e Heidi Wilder, associada sênior da equipe de investigações especiais, a dupla confirmou o que muitos suspeitavam durante o hack da ponte em 1º de agosto – que uma vez que os hackers iniciais descobriram como extrair fundos, centenas de “copiadores” se juntaram à festa.
De acordo com os pesquisadores de segurança, o método “copycat” era uma variação do exploit original, que usava uma brecha no contrato inteligente da Nomad, permitindo que os usuários extraíssem fundos da ponte que não eram deles.
Os copycats então copiaram o mesmo código, mas modificaram o token de destino, o valor do token e os endereços dos destinatários.
Mas, enquanto os dois primeiros hackers foram os mais bem-sucedidos (em termos de total de fundos extraídos), uma vez que o método se tornou aparente para os imitadores, tornou-se uma corrida para todos os envolvidos para extrair o máximo de fundos possível.
Os analistas da Coinbase também observaram que os hackers originais atacaram primeiro o Bridge's Wrapped Bitcoin (wBTC), seguido pelo USD Coin (USDC) e éter enrolado (wETH).
Como os tokens wBTC, USDC e wETH estavam presentes nas maiores concentrações na Nomad Bridge, fazia sentido que os hackers originais primeiro extraíssem esses tokens.
Esforços de chapéu branco
Surpreendentemente, a solicitação de fundos roubados da Nomad Bridge rendeu um retorno de 17% (na terça-feira), com a maioria desses tokens na forma de USDC (30.2%), Tether (USDT) (15.5%) e wBTC (14.0%).
Como os hackers originais exploraram principalmente wBTC e wETH, o fato de que a maioria dos fundos devolvidos veio na forma de USDC e USDT sugere que a maioria dos fundos devolvidos foi de imitadores de chapéu branco.
Enquanto isso, aproximadamente 49% dos fundos explorados (na terça-feira) foram transferidos para outro lugar de cada um dos endereços do destinatário.
Relacionado: US$ 2 bilhões em criptomoedas roubados de pontes de cadeia cruzada este ano: Chainalysis
A Coinbase também observou que os três primeiros endereços de destinatários foram financiados pelo Tornado Cash, um protocolo baseado em Ethereum que permite aos usuários realizar transações anonimamente. Na segunda-feira, o Tesouro dos Estados Unidos sancionou todos os USDC e Ether (ETH) endereços vinculados ao protocolo.
O hack Nomad Bridge se tornou o quarto maior hack de finanças descentralizadas (DeFi) de todos os tempos e o terceiro maior em 2022, após o hack de US$ 250 milhões da Wormhole Bridge em fevereiro e o hack de US$ 540 milhões da Ronin Bridge em março. Pontes de cadeia cruzada desses tipos foram acusado de ser muito centralizado, tornando-os um site ideal para os invasores explorarem.
Fonte: https://cointelegraph.com/news/88-of-nomad-bridge-exploiters-were-copycats-report