Сообщается, что компания Nomad проигнорировала уязвимость в системе безопасности, которая привела к эксплойту стоимостью $190 млн.

Взлом токен-моста Nomad 3 августа стал четвертым крупнейшим взломом в истории криптовалют, в результате которого с платформы были выведены криптоактивы на сумму около 200 миллионов долларов. Однако широкое внимание привлек не столько сам взлом, сколько методология, лежащая в его основе.

Эксплойт произошел из-за уязвимости смарт-контракта, в который были вовлечены сотни других пользователей, помимо хакера, которые забирали все, что могли, просто копируя данные транзакций, использованные первоначальным хакером, и меняя адрес кошелька на свой. Позднее это событие многие сочли децентрализованным ограблением из-за участия в нем обычных членов сообщества.

Позже команда Nomad сообщила Cointelegraph, что некоторые из тех, кто забрал средства, действовали доброжелательно, чтобы защитить криптовалюту от попадания в чужие руки.

После взлома криптоаналитическая группа BestBrokers обнаружила, что первый эксплойт произошел 1 августа, в результате которого было выведено 400 биткоинов (BTC) в четырех различных транзакциях. Позже хакеры вывели все 22 880 эфиров (ETH), затем перешли к стабильным монетам на сумму более 107 миллионов долларов и, наконец, начали выводить альткоины, поддерживаемые проектом.

В результате инцидента с моста были изъяты токены WBTC, Wrapped Ether (WETH), USD Coin (USDC), Frax (FRAX), Covalent Query Token (CQT), Hummingbird Governance Token (HBOT), IAGON (IAG), DAI (DAI), GeroWallet (GERO), Card Starter (CARDS), Saddle DAO (SDL) и Charli3 (C3).

Некоторые альткоины, украденные с платформы, упали на 94%. Данные, собранные аналитической фирмой, показали, что наибольший обвал после взлома потерпели следующие альткоины:

Уязвимость смарт-контракта, которая была использована, была отмечена в отчете об аудите безопасности, проведенном Quantstamp в первую неделю июня. Команда Nomad даже отреагировала на уязвимость, заявив, что "фактически невозможно найти предварительный образ пустого листа".

Аудиторы посчитали, что в то время команда Nomad неправильно поняла проблему, а через два месяца эта же уязвимость стала причиной убытков почти на 200 миллионов долларов.

Cointelegraph связался с Nomad, чтобы задать вопросы, связанные с этим открытием, и будет обновлять эту историю соответствующим образом.