В смарт-контракте моста Nomad находилось различных токенов на $190.7 млн. Утром среды, 2 августа, хакерам удалось вывести практически все, в смарт-контракте оставалось активов примерно на $650. При этом опустошали мост с помощью множества транзакций и, похоже, в атаке участвовало как минимум несколько людей.
По данным специалиста по компьютерной безопасности под псевдонимом saczsun, в ходе обычного минорного обновления смарт-контракта разработчики допустили ошибку, в результате которой автоматически одобрялась почти любая посланная в контракт транзакция. В результате злоумышленникам не нужно было хорошо знать язык программирования Solidity или разбираться в информационной безопасности. По сути, любой человек мог взять уже прошедшую транзакцию, поменять в ней адрес получателя на свой и отправить в контракт.
Разработчики сообщили, что исследуют проблему и позднее предоставят более подробную информацию. Впрочем, учитывая, что проект был полностью опустошен, вряд ли пользователей, потерявших средства, это утешит.
Злоумышленники вывели токены WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL и C3 из межсетевого моста Nomad. Он позволял обменивать токены между сетями Эфириума, Avalanche, Evmos, Mikomeda C1 и Moonbeam.
Всего несколько дней назад проект Nomad собрал более $22 млн финансирования от различных компаний, включая Coinbase Ventures и OpenSea. Капитализация проекта достигла $225 млн.
Недавно был взломан проект DeFi Nirvana Finance на блокчейне Solana. Хакеру удалось вывести $3.5 млн.