88% пользователей Nomad Bridge были «подражателями» — отчет

Почти 90% адресов, участвовавших во взломе Nomad Bridge стоимостью 186 млн долларов на прошлой неделе, были идентифицированы как «подражатели», которые 1 августа похитили токены на общую сумму 88 млн долларов, говорится в новом отчете.

В среду в блоге Coinbase, авторами которого стали Питер Качергински, главный исследователь угроз блокчейна Coinbase, и Хайди Уайлдер, старший сотрудник группы специальных расследований, они подтвердили то, о чем многие подозревали во время взлома моста 1 августа.

Источник: Coinbase

По словам исследователей безопасности, метод «подражателей» был вариацией оригинального эксплойта, который использовал лазейку в смарт-контракте Nomad, позволяя пользователям извлекать из моста средства, которые им не принадлежали.

Подражатели затем скопировали тот же код, но изменили целевой токен, сумму токена и адреса получателей.

Но если первые два хакера были наиболее успешными (с точки зрения общего объема извлеченных средств), то после того, как метод стал очевиден для подражателей, все участники превратились в гонку за извлечением как можно большего количества средств.

Аналитики Coinbase также отметили, что первоначальные хакеры сначала нацелились на обёрнутый биткоин (wBTC), затем на монету USD (USDC) и обёрнутый эфир (wETH).

Источник: Coinbase

Поскольку токены wBTC, USDC и wETH присутствовали в наибольшей концентрации в Nomad Bridge, первоначальным хакерам имело смысл сначала добыть эти токены.

Усилия «белых хат

Удивительно, но запрос Nomad Bridge на украденные средства принес 17% прибыли (по состоянию на вторник), причем большинство этих токенов были в форме USDC (30. 2%), Tether (USDT) (15,5%) и wBTC (14,0%).

Источник: Coinbase

Поскольку первоначальные хакеры в основном использовали wBTC и wETH, тот факт, что большая часть возвращенных средств поступила в виде USDC и USDT, позволяет предположить, что большинство возвращенных средств было получено от белохалатных подражателей.

Кроме того, примерно 49% использованных средств (по состоянию на вторник) были переведены в другое место с каждого из адресов получателей.

Coinbase также отметила, что первые три адреса получателей финансировались с помощью Tornado Cash — протокола на базе Ethereum, который позволяет пользователям совершать сделки анонимно. В понедельник Казначейство США наложило санкции на все адреса USDC и Ether (ETH), связанные с этим протоколом.

Взлом Nomad Bridge стал четвертым крупнейшим взломом децентрализованных финансов (DeFi) в истории и третьим крупнейшим в 2022 году, после взлома Wormhole Bridge стоимостью 250 млн долларов в феврале и взлома Ronin Bridge стоимостью 540 млн долларов в марте. Подобные межцепочечные мосты обвиняют в том, что они слишком централизованы, что делает их идеальным местом для атак злоумышленников.