Jembatan token Nomad tampaknya memiliki kemampuan mengeksploitasi keamanan yang memungkinkan peretas untuk secara sistematis menguras dana jembatan melalui kumpulan transaksi yang berlarut-larut.
Hampir seluruh $190,7 juta dalam crypto telah jauh dari jembatan, dengan hanya $651,54 tersisa di dalam kantong, sejalan dengan platform pemantauan keuangan terdesentralisasi (DeFi) DeFi Llama.
Jembatan pengembara semakin terkuras, dana Anda bisa dalam bahaya dan mungkin masih bisa menarik sisa dana ️ https://t.co/RgYmjSV9eB
— stani.lens (,) (@StaniKulechov) 1 Agustus 2022
Transaksi mencurigakan utama, yang bisa menjadi asal mula eksploitasi lanjutan, tiba di sini pada pukul 21:32 UTC ketika seseorang berhasil mengambil 100 nilai Bitcoin Terbungkus (WBTC) sekitar $2,3 juta token dari jembatan.
Tak lama setelah lingkungan tersebut membunyikan lonceng alarm atas potensi eksploitasi, staf Nomad mengkonfirmasi pada pukul 23:35 UTC bahwa mereka sadar akan “insiden yang melibatkan jembatan token Nomad” termasuk “saat ini sedang menyelidiki insiden tersebut.” Staf tidak langsung membalas permintaan komentar.
Kami menyadari insiden yang melibatkan jembatan token Nomad. Kami sedang menyelidiki dan dapat menyajikan pembaruan ketika kami memilikinya.
— Nomad (⤭⛓) (@nomadxyz_) 1 Agustus 2022
Insiden tersebut telah melihat WBTC, Wrapped Ether (WETH), USD Coin (USDC), Frax (FRAX), Covalent Question Token (CQT), Hummingbird Governance Token (HBOT), IAGON (IAG), Dai (DAI), GeroWallet (GERO ), Token Card Starter (CARDS), Saddle DAO (SDL), dan Charli3 (C3) diambil dari bridge.
Eksploitasi menghilangkan token dalam mode yang tidak biasa karena setiap token dihilangkan dalam denominasi yang hampir sama. Misalnya, transaksi dengan tepat 202.440.725413 USDC telah dieksekusi lebih dari 200 kali.
Nomad adalah jembatan token yang memungkinkan transfer token antara Avalanche (AVAX), ethereum (ETH), Evmos (EVMOS), Milkomeda C1, dan Moonbeam (GLMR).
Tidak seperti eksploitasi lain yang menjadi sangat umum pada tahun 2022, kesempatan ini sampai saat ini memiliki banyak alamat yang menerima token langsung dari jembatan.
Sementara itu, platform kontrak Moonbeam yang masuk akal dari komunitas Polkadot, yang token GLMR aslinya adalah salah satu yang difokuskan dalam eksploitasi Nomad, masuk ke mode pemeliharaan pada pukul 11:18 malam UTC “untuk meneliti insiden keamanan.” Karena itu, kinerja Moonbeam yang mirip dengan transaksi konsumen umum dan interaksi kontrak yang masuk akal mungkin akan dinonaktifkan.
1/ Vital Discover: Komunitas Moonbeam telah masuk ke Mode Pemeliharaan dengan maksud untuk memeriksa insiden keamanan dengan kontrak bijaksana yang diterapkan pada komunitas.
— Komunitas Moonbeam #HarvestMoonbeam (@MoonbeamNetwork) 1 Agustus 2022
Serangan itu terlalu dini untuk jembatan yang dan pedagang bola benihnya dari penggalangan dana pada bulan April. Pada tanggal 29 Juli, perusahaan tersebut mengungkapkan dalam sebuah tweet bahwa Coinbase Ventures, OpenSea, dan 5 perusahaan utama yang berbeda dalam bisnis crypto berpartisipasi dalam penggalangan dana bulan April yang membuat Nomad mendapatkan penilaian $ 225 juta.
