۸۸ درصد از بهره برداران پل Nomad “کپی کننده” بودند

یک گزارش جدید نشان می‌دهد که نزدیک به ۹۰ درصد از آدرس‌هایی که در هک ۱۸۶ میلیون دلاری پل Nomad در هفته گذشته شرکت کرده‌اند، به‌عنوان «کپی‌کت» شناسایی شده‌اند که در ۱ آگوست مجموعاً ۸۸ میلیون دلار توکن به دست آورده‌اند.

در یک وبلاگ کوین بیس در ۱۰ آگوست، که توسط پیتر کاچرگینسکی، محقق اصلی اطلاعات تهدیدات بلاک چین کوین بیس، و هایدی وایلدر، یکی از همکاران ارشد تیم تحقیقات ویژه، نوشته شده بود، این زوج آنچه را که بسیاری در جریان هک پل در ۱ آگوست به آن مشکوک بودند، تایید کردند. هنگامی که هکرهای اولیه متوجه شدند که چگونه می توانند پول استخراج کنند، صدها “کپی کننده” به حزب پیوستند.

nomad چگونه هک شد؟

به گفته محققان امنیتی، روش «کپی‌گیری» نوعی اکسپلویت اصلی بود که از حفره‌ای در قرارداد هوشمند Nomad استفاده می‌کرد و به کاربران اجازه می‌داد از پلی که متعلق به آن‌ها نبود، پول استخراج کنند.

سپس کپی‌کنندگان همان کد را کپی کردند اما توکن هدف، مقدار توکن و آدرس گیرنده را تغییر دادند.

اما در حالی که دو هکر اول موفق‌ترین بودند (از نظر کل وجوه استخراج‌شده)، هنگامی که این روش برای کپی‌کنندگان آشکار شد، رقابتی برای همه درگیرها برای استخراج هر چه بیشتر وجوه ممکن شد.

تحلیلگران کوین بیس همچنین خاطرنشان کردند که هکرهای اصلی ابتدا بیت کوین بر بستر اتریوم پل (wBTC) و سپس USDC و Wrapped-ETH (wETH) را هدف قرار دادند.

از آنجایی که توکن‌های wBTC، USDC و wETH در بیشترین غلظت در Nomad Bridge وجود داشتند، منطقی بود که هکرهای اصلی ابتدا این توکن‌ها را استخراج کنند.

تلاش های کلاه سفید

با کمال تعجب، درخواست Nomad Bridge برای وجوه دزدیده شده بازدهی ۱۷ درصدی را به همراه داشت (از ۹ آگوست)، با اکثریت آن توکن ها به شکل USDC (30.2٪)، تتر (۱۵.۵٪) و wBTC ( 14.0٪.

از آنجایی که هکرهای اصلی بیشتر از wBTC و wETH سوء استفاده می‌کردند، این واقعیت که بیشتر وجوه برگشتی به شکل USDC و USDT بود، نشان می‌دهد که اکثر وجوه بازگردانده شده از «کپی‌های کلاه سفید» بوده است.

در همین حال، تقریباً ۴۹٪ از وجوه مورد بهره برداری (تا ۹ اوت) از هر یک از آدرس های گیرنده به جای دیگری منتقل شده است.کوین بیس همچنین خاطرنشان کرد که سه آدرس دریافت کننده اول توسط Tornado Cash، یک پروتکل مبتنی بر اتریوم که به کاربران اجازه می دهد به صورت ناشناس تراکنش کنند، تامین مالی شده است. روز دوشنبه، وزارت خزانه داری ایالات متحده تمام آدرس های USDC و ETH مرتبط با این پروتکل را تحریم کرد.

هک Nomad Bridge پس از هک ۲۵۰ میلیون دلاری Wormhole Bridge در فوریه و هک ۵۴۰ میلیون دلاری Ronin Bridge در ماه مارس، به چهارمین هک بزرگ DeFi تا کنون و سومین هک بزرگ در سال ۲۰۲۲ تبدیل شده است. پل‌های زنجیره‌ای متقاطع از این نوع متهم شده‌اند که بیش از حد متمرکز هستند و آن را به یک سایت ایده‌آل برای سوء استفاده مهاجمان تبدیل می‌کند.