L'exploit di Nomad è stato uno dei più grandi hack di criptovaluta della storia. Di conseguenza, sono stati prosciugati oltre $ 190 milioni di fondi. È stato bollato come "uno degli hack più caotici che Web3 abbia mai visto".
PeckShield ha rilevato il recupero di 9 milioni di dollari in diverse criptovalute sul ponte cross-chain. Secondo i risultati della società, la maggior parte dei fondi è stata restituita sotto forma di stablecoin USDC seguita da USDT e altre altcoin.
Appello di Nomad a restituire i fondi
L' exploit è avvenuto a causa di un difetto nello smart contract. Ciò ha spinto centinaia di utenti, senza alcuna conoscenza tecnica, a trovare una transazione che funzionasse, modificare l'indirizzo di destinazione con il proprio e ritrasmetterlo. Fondamentalmente, copia e incolla i passaggi seguiti dall'hacker originale. La natura dell'evento ha portato il ricercatore anonimo di Terra FatMan a considerare l'attacco come "la prima rapina decentralizzata".
Il team ha successivamente confermato che alcuni utenti che hanno raccolto fondi stavano, in effetti, cercando di aiutare il progetto impedendo alla criptovaluta di cadere in mani sbagliate. Nomad ha quindi esortato gli hacker white hat e i ricercatori etici a restituire i token.
La società di sicurezza blockchain, PeckShield, ha osservato che quasi 3,78 milioni di USDC, 2 milioni di USDT, 15,8 milioni di CQT (circa $ 1,38 milioni), $ 1,28 milioni di FRAX (circa $ 1,2 milioni), 100 ETH (circa $ 164k), 200 WETH ( circa $ 328k) sono stati recuperati. Più del 50% dei fondi rubati si trovano ancora su 3 indirizzi principali.
Nomad ha annunciato di aver ricevuto 22,4 milioni di dollari in un seed round dai giganti del settore Coinbase Ventures, OpenSea, CryptoCom Capital, Polygon, Gnosis, Polygon, ecc., solo pochi giorni prima della violazione della sicurezza. Il team sta attualmente lavorando con una delle principali società di intelligence, TRM Labs, nonché con le forze dell'ordine per rintracciare i fondi rubati e identificare i portafogli dei destinatari.
Bandiera rossa maggiore ignorata
Mentre le indagini continuano, sono emerse notizie su un errore da parte di Nomad. Secondo il gruppo di analisi crittografiche BestBrokers, la vulnerabilità sfruttata dagli aggressori sarebbe stata evidenziata in un rapporto di audit sulla sicurezza condotto da Quantstamp il 6 giugno 2022.
Secondo quanto riferito, è stato considerato "a basso rischio". Il team di Nomad ha persino risposto dicendo: "Riteniamo che sia effettivamente impossibile trovare l'immagine preliminare della foglia vuota".
CryptoPotato ha contattato Nomad in merito allo sviluppo e aggiornerà la storia di conseguenza.