A másolók ugyanazt a kódot használták, mint az eredeti hackerek, de módosították a célzott tokent, a token mennyiségét és a címzettek címét.
A múlt heti 186 millió dolláros Nomad Bridge hackelésben részt vevő címek közel 90%-át „másolóként” azonosították, és összesen 88 millió dollár értékű tokent zsákmányoltak augusztus 1-jén, derült ki egy új jelentésből.
A Coinbase augusztus 10-i blogjában, amelyet Peter Kacherginsky, a Coinbase vezető blokklánc fenyegetéskutatója és Heidi Wilder, a különleges nyomozócsoport vezető munkatársa írt, a páros megerősítette azt, amit sokan már az augusztus 1-jei híd hack során is sejtettek – vagyis azt, hogy amint a kezdeményező hackerek rájöttek, hogyan szerezzenek pénzt, „másolók” százai csatlakoztak a bulihoz.
A biztonsági kutatók szerint a „másolós” módszer az eredeti exploit egy változata volt, amely a Nomad okosszerződésének egy kiskapuját használta ki, lehetővé téve a felhasználók számára, hogy olyan pénzeszközöket vonjanak ki a hídról, amelyek nem az övék voltak.
A másolók ezután lemásolták ugyanazt a kódot, de módosították a célzott tokent, a token összegét és a címzettek címét.
Az első két hacker bizonyult a legsikeresebbnek (az összes kivont pénzösszeg tekintetében), és amint a módszer nyilvánvalóvá vált az utánzók számára, az összes érintett számára versenyfutássá vált a minél több pénzeszköz kivonása.
A Coinbase elemzői azt is megjegyezték, hogy az eredeti hackerek először a Bridge által csomagolt Bitcoint (wBTC) vették célba, majd az USD Coin (USDC) és a csomagolt-ETH (wETH) következett.
Mivel a Nomad Bridge-ben a legnagyobb koncentrációban a wBTC, USDC és wETH tokenek voltak jelen, az eredeti hackerek számára logikus volt, hogy először ezeket a tokeneket vonják ki.
White-hat erőfeszítések
Meglepő módon a Nomad Bridge ellopott pénzeszközökre vonatkozó kérése 17%-ot hozott vissza (augusztus 9-én), és ezeknek a tokeneknek a többsége USDC (30,2%), Tether (USDT) (15,5%) és wBTC (14,0%) formájában volt.
Mivel az eredeti hackerek leginkább a wBTC és a wETH kódokat használták, az a tény, hogy a legtöbb visszakapott pénz USDC és USDT formájában érkezett, arra utal, hogy a visszakapott pénzek többsége fehér kalapos „másolóktól” származik.
Eközben a kizsákmányolt pénzeszközök mintegy 49%-át (augusztus 9-én) az egyes címzettek címéről máshová utalták át.
A Coinbase azt is megjegyezte, hogy az első három címzett címet a Tornado Cash, egy Ethereum-alapú protokoll segítségével finanszírozták, amely lehetővé teszi a felhasználók számára az anonim tranzakciókat. Hétfőn az amerikai pénzügyminisztérium szankcionálta a protokollhoz kapcsolódó összes USDC és ETH címet.
A Nomad Bridge hack az eddigi negyedik legnagyobb DeFi hack és a harmadik legnagyobb 2022-ben, a februári 250 millió dolláros Wormhole Bridge hack és a márciusi 540 millió dolláros Ronin Bridge hack után. Az ilyen típusú láncokon átívelő hidakat azzal vádolták, hogy túlságosan centralizáltak, így ideális helyszínt jelentenek a támadók számára a hackelésre.
