Nomad Bridge kena hack
Sumber : Rekt News
Burung nasar memiliki malam yang sibuk.
Nomad Bridge telah terkoyak, dengan $ 190 juta likuiditas terkuras dalam serangan biadab yang berlangsung dua setengah jam.
Ini adalah insiden ke-100 yang berhasil masuk ke papan peringkat rekt.news.
Tetap setia pada prinsip-prinsip DeFi, peretasan ini tidak memiliki izin – siapa pun dapat bergabung.
Begitu pukulan fatal itu terjadi, berita itu menyebar, dan banyak yang mulai memperebutkan sisa-sisanya.
Jembatan lintas rantai terus menjadi titik lemah bagi DeFi dan target yang menarik bagi para pengeksploitasi. Dan ketika mereka pergi, sering kali ambruk total.
$190 juta… habis.
Kerusakan tambahan dari aset yang tidak didukung juga sangat mempengaruhi rantai yang bergantung pada Nomad. Moonbeam, EVMOS, dan Milkomeda semuanya mendapat pukulan yang signifikan untuk TVL mereka.
Insiden ini berbeda dalam sifat setiap orang untuk dirinya sendiri, tetapi banyak yang mengeksploitasi bug telah menyatakan diri mereka whitehats… Rekt menantikan untuk melihat berapa banyak yang akhirnya dikembalikan…
Meski begitu, dengan empat dari 5 entri teratas papan peringkat kami adalah serangan lintas-rantai, semakin sulit untuk menyetujui slogan Nomad “Masa depan komunikasi lintas-rantai adalah optimis”.
Tapi apa yang memulai kegilaan makan?
Dan bagaimana begitu banyak yang bisa terus memetik tulang?
Kredit: samczsun, Zellic.io
Setelah peningkatan rutin pada bulan Juni, kontrak Replika jembatan diinisialisasi dengan kelemahan keamanan fatal yang menyebabkan insiden tersebut. Alamat 0x00 ditetapkan sebagai root tepercaya, artinya semua pesan dibaca sebagai valid secara default.
Setelah upaya pertama yang gagal (dengan biaya $350k dalam gas), exploit tx penyerang asli, yang disalin oleh orang-orang yang mengikutinya, dapat memanggil fungsi process() secara langsung, tanpa terlebih dahulu ‘membuktikan’ validitasnya.
Fungsi process() bertanggung jawab atas eksekusi semua pesan lintas rantai dan memiliki persyaratan internal (baris 185) untuk memeriksa validitas root merkle dari semua pesan yang akan diproses.
Namun, pemutakhiran secara tidak sengaja menyebabkan transaksi dengan nilai ‘pesan’ 0 (tidak valid, menurut logika lama) dibaca secara default sebagai 0x00 yang didefinisikan dalam pemutakhiran sebagai akar tepercaya, melewati persyaratan validasi sebagai ‘terbukti’.
Ini berarti setiap panggilan process() dapat dieksekusi sebagai valid. Faktanya, pengeksploitasi yang lebih canggih dapat menulis kontrak untuk mengeringkan seluruh jembatan untuk diri mereka sendiri.
Penyerang peniru hanya perlu menyalin/menempel panggilan fungsi process() yang sama melalui Etherscan, menukar alamat mereka di tempat eksploitator sebelumnya.
Insiden itu dengan cepat terbukti menjadi campuran kacau dari crowdhacking dari mulut ke mulut, aktivitas whitehat yang panik, dan pembantaian bot MEV.
Misalnya, .eth berhasil mengekstrak total $4M dari jembatan, tetapi untungnya mengklaim bertindak sebagai whitehat:
Namun, nama lain menonjol karena alasan yang salah. Ada pelaku berulang yang terkenal di pengeksploitasi Rari Capital (Artibrum) dari artikel April, yang lolos dengan hampir $ 3 juta di stablecoin, yang langsung masuk ke Tornado Cash.
Dari beberapa pengeksploitasi, tiga alamat teratas (dengan 95 juta di antaranya) adalah sebagai berikut:
0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3 ($47M)
0xBF293D5138a2a1BA407B43672643434C43827179 ($40 juta)
0xB5C55f76f90Cc528B2609109Ca14d8d84593590E ($8 juta)
Daftar lengkap alamat pengeksploitasi tersedia di sini.
Proyek ini menyelesaikan audit Quantstamp pada bulan Juni, dengan masalah QSP-19 yang menunjukkan kerentanan serupa:
Pernyataan auditor bahwa “Kami yakin tim Nomad telah salah memahami masalah ini” menunjukkan sikap mengkhawatirkan terhadap keamanan yang tampaknya dikonfirmasi oleh rencana “Keamanan Jangka Panjang” dokumen proyek:
Kekhawatiran juga muncul seputar waktu respons tim menghadapi eksploitasi langsung dan publik; pengakuan resmi tim datang tiga jam setelah eksploitasi dimulai.
Eksploitasi akhirnya dihentikan hanya dengan “menghapus kontrak Replika sebagai pemilik”, tetapi setelah penundaan seperti itu, sudah terlambat untuk menghemat dana.
Blockchain mungkin merupakan sistem tertutup, tetapi alt L1 hanya sekuat tautan terlemahnya.
Rantai Harmony masih berantakan sejak jembatannya kehilangan $100 juta pada akhir Juni, dalam serangan yang terkait dengan Grup Lazarus.
Apa yang akan terjadi di masa depan bagi ekosistem yang terkena dampak keruntuhan Nomad?
Sejauh ini, TVL Moonbeam telah turun dari $300 juta menjadi $135 juta, EVMOS dari ~$7 juta menjadi ~$3 juta, dan Milkomeda dari $31 juta menjadi $20 juta.
Tapi yang terpenting, hilangnya kepercayaan mungkin terbukti lebih merusak daripada kehilangan $ 190 juta.
Membangun di industri eksperimental yang baru lahir itu sulit, dan infrastruktur lintas rantai memiliki banyak bagian yang bergerak untuk diamankan. Kerusakan yang dilakukan oleh serangan jembatan seringkali yang paling menyakitkan, karena dapat mencemari seluruh ekosistem, atau lebih.
Tetapi likuiditas nomaden tidak memiliki rumah permanen, pengguna akan selalu menjelajah ke tanah baru untuk mencari “hal besar berikutnya”, dan akan terus tersengat setiap kali kewaspadaan menjadi terlalu tipis.
Dengan masing-masing dari 100 entri di papan peringkat rekt.news, industri belajar pelajaran yang keras, perlahan tumbuh kuat
eh.
Namun untuk saat ini, DeFi masih memiliki banyak mangsa yang mudah…
…dan pemulung terus berputar-putar di atas kepala.
Apakah akan pernah berubah?