Кроссчейн Nomad был атакован 1 августа. Хакерам удалось вывести из протокола $190 миллионов. Атака на кроссчейн-мост Nomad стала третей по величине кражей криптовалютт в 2022.
Специалисты PeckShield сообщили, что украденные средства были деноминированы в Ethereum, USDC, DAI, FXS и CQT.
«Нам известно об инциденте, связанном с мостом токенов Nomad. В настоящее время мы проводим расследование и предоставим обновления, когда они у нас появятся», – написал Nomad в твиттере.
Эксперты по безопасности аудиторской компании Certik опубликовали отчет об инциденте с описанием произошедшего. По данным специалистов, уязвимость была обнаружена в процессе инициализации. «Значение «committedRoot» было установлено как НОЛЬ. Поэтому злоумышленники смогли обойти процесс проверки сообщения и вывести токены из кроссчейн-моста».
«Эксплойт был реализован таким образом, что стандартное обновление позволило обойти сообщения проверки на Nomad. Злоумышленники использовали это для копирования/вставки транзакций и смогли вывести с моста почти все средства, прежде чем их удалось остановить».
Взлом Nomad стал третьим по величине украденным активов в 2022 году и девятым за всю историю существования криптовалют. В конце марта в результате крупнейшего взлома 2022 года с моста Ronin компании Axie Infinity было украдено $620 миллионов.
По словам экспертов Certik, эту конкретную ошибку «было бы трудно обнаружить с помощью обычных методов аудита».
В апреле команда Nomad привлекла $22 млн в рамках раунда финансирования, возглавляемого Polychain Capital.