Nomad Bridge sofre mais de $ 190 milhões em raid

Ponte entre cadeias Nomad Bridge tornou-se o principal alvo de hackers e... saqueadores, e Deus sabe o que mais...

O Nomad Bridge, um protocolo que permite interações entre diferentes blockchains, foi hackeado esta semana. Hackers exploraram as vulnerabilidades da ponte e roubou mais de US$ 190 milhões em ativos.

Os ativos afetados no incidente incluem WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL e C3. Nomad é o próximo nome a se juntar à lista de pontes azaradas sob grandes ataques após Axie Infinity e Horizon.

Nomad Bridge foi atingido - em grande estilo

A primeira transação suspeita foi feita em 2 de agosto, quando hackers tentaram transferir 100 Wrapped Bitcoin (WBTC) equivalente a US$ 2.3 milhões da ponte.

Ao descobrir o problema sobre possíveis explorações adicionais, os oportunistas aproveitaram a brecha, replicaram as informações de transação do hacker, alteraram o endereço original para seus endereços e retiraram o dinheiro com sucesso.

A exploração desta vez é fácil de duplicar, o que explica por que é o ataque mais rápido e caótico.

Qualquer pessoa no Discord do projeto poderia simplesmente copiar a primeira transação do invasor e alterar o endereço, depois pressionar enviar via Etherscan, eles receberão aleatoriamente mil dólares por txid.

Como isso poderia acontecer?

Como o incidente ainda está sendo investigado, o projeto hackeado não forneceu nenhuma explicação adicional. No entanto, alguns pesquisadores e especialistas em criptomoedas indicaram respostas viáveis.

O Velho Oeste das Finanças

De acordo com o pesquisador da Paradigm Sam Sun, a vulnerabilidade decorre de outro bug descoberto e relatado ao Nomad pela unidade de auditoria de contratos inteligentes Quantstamp no início de junho.

O projeto abordou a outra questão, mas no processo mudou para raiz 0x000…, resultando nas repercussões que ocorreram.

Cada transação passará por um estágio de verificação (verify) para garantir que seja válida. E, embora o Root seja necessário para essa verificação, o desenvolvedor aqui o deixou em 0x00, e esse código de identificação do Root garante automaticamente que todas as transações sejam válidas.

A equipe do Nomad emitiu avisos sobre o evento relacionado à ponte do token Nomad pouco depois de saber disso.

A ponte Nomad foi fechada após o ataque, de acordo com o tópico oficial do Nomad no Twitter. A equipe afirmou que está trabalhando com a polícia para investigar o evento.

Para saber,

“Estamos cientes de imitadores se passando por Nomad e fornecendo endereços fraudulentos para coletar fundos. Ainda não estamos fornecendo instruções para devolver os fundos da ponte. Desconsidere as comunicações de todos os canais que não sejam o canal oficial do Nomad: @nomadxyz_.”

Nômade é uma ótima ideia

Nomad é uma ponte que permite a transferência de tokens entre diferentes blockchains, como Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 e Moonbeam (GLMR) através do sistema de mensagens da Nomad.

O protocolo tem uma ampla gama de possibilidades de aplicação e pode ser usado para desenvolver aplicativos cross-chain.

A Nomad revelou recentemente que levantou com sucesso US$ 22 milhões de figuras líderes do setor, incluindo Coinbase Ventures, OpenSea e cinco outros grandes players em um financiamento inicial liderado pela Polychain em abril. O financiamento superou a avaliação da empresa para US$ 225 milhões.

Em comparação com os ataques contra pontes de cadeia cruzada em 2021, esses ataques deste ano causaram danos graves ao próprio projeto, VCs e projetos associados às pontes devido à natureza de conectividade de uma ponte de cadeia cruzada.

O fato de o blockchain ser descentralizado facilita a defesa. Mas os protocolos e softwares foram todos feitos por pessoas, então é possível que existam pontos fracos.

Os ataques recentes não são realmente direcionados à própria plataforma blockchain. Em vez disso, destinam-se a aplicações como jogos, carteiras, exchanges, e pontes.

São aplicativos da web e móveis que usam blockchain, mas ainda apresentam as mesmas falhas de segurança do software tradicional porque ainda são aplicativos da web e móveis.

Desde o início do ano, quatro pontes de cadeia cruzada foram invadidas, incluindo Wormhole, Ronin, Horizon e Nomad. Nenhum tem uma perda inferior a US$ 100 milhões.

O Cross-chain Bridge melhorou a interoperabilidade do blockchain, resultando em uma melhor experiência para usuários e desenvolvedores de blockchain. No entanto, devido a vulnerabilidades específicas, essas pontes têm sido recentemente um alvo popular para invasores.