Nomad Bridge Menderita $190M+ Raid

Jembatan lintas rantai Nomad Bridge menjadi target utama para peretas dan…penjarah, dan entah apa lagi…

Nomad Bridge, protokol yang memungkinkan interaksi antara blockchain yang berbeda, diretas minggu ini. Peretas mengeksploitasi kerentanan jembatan dan mencuri lebih dari $190 juta aset.

Aset yang terpengaruh dalam insiden tersebut termasuk WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL, dan C3. Nomad adalah nama berikutnya yang bergabung dalam daftar jembatan sial di bawah serangan besar setelah Axie Infinity dan Horizon.

Nomad Bridge Tertabrak – Secara Besar-besaran

Transaksi mencurigakan pertama dilakukan pada 2 Agustus, ketika peretas mencoba mentransfer 100 Wrapped Bitcoin (WBTC) setara dengan $2.3 juta dari jembatan.

Setelah menemukan masalah tentang kemungkinan eksploitasi lebih lanjut, oportunis mengambil keuntungan dari celah tersebut, mereplikasi informasi transaksi peretas, mengubah alamat asli ke alamat mereka, dan berhasil menarik uang.

Eksploitasi kali ini mudah diduplikasi, yang menjelaskan mengapa ini adalah serangan tercepat dan paling kacau.

Siapa pun di Discord proyek dapat dengan mudah menyalin transaksi pertama penyerang dan mengubah alamat, lalu tekan kirim melalui Etherscan, mereka akan secara acak menerima ribuan dolar per txid.

Bagaimana itu bisa terjadi?

Karena insiden itu masih diselidiki, proyek yang diretas belum memberikan penjelasan lebih lanjut. Namun, beberapa peneliti dan pakar crypto telah menunjukkan jawaban yang layak.

Keuangan Barat Liar

Menurut peneliti Paradigm Sam Sun, kerentanan berasal dari bug lain yang ditemukan dan dilaporkan ke Nomad oleh unit audit kontrak pintar Quantstamp pada awal Juni.

Proyek mengatasi masalah lain, tetapi dalam proses melakukannya, itu berubah menjadi root 0x000…, menghasilkan dampak yang terjadi.

Setiap transaksi akan melalui tahap verifikasi (verify) untuk memastikan validitasnya. Dan, sementara Root diperlukan untuk verifikasi ini, pengembang di sini membiarkannya pada 0x00, dan kode identifikasi Root ini secara otomatis memastikan semua transaksi valid.

Tim Nomad mengeluarkan peringatan tentang event terkait token bridge Nomad tidak lama setelah mengetahuinya.

Jembatan Nomad telah ditutup setelah serangan itu, menurut utas Twitter resmi Nomad. Tim menyatakan bahwa mereka bekerja dengan penegak hukum untuk menyelidiki lebih lanjut peristiwa tersebut.

Yakni,

“Kami mengetahui adanya peniru yang menyamar sebagai Nomad dan memberikan alamat palsu untuk mengumpulkan dana. Kami belum memberikan instruksi untuk mengembalikan dana jembatan. Abaikan komunikasi dari semua saluran selain saluran resmi Nomad: @nomadxyz_.”

Nomad adalah Ide Hebat

Nomad adalah jembatan yang memungkinkan transfer token antara blockchain yang berbeda seperti Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1, dan Moonbeam (GLMR) melalui sistem pesan Nomad.

Protokol ini memiliki berbagai kemungkinan aplikasi dan dapat digunakan untuk mengembangkan aplikasi lintas rantai.

Nomad baru-baru ini mengungkapkan bahwa mereka berhasil mengumpulkan $22 juta dari tokoh industri terkemuka termasuk Coinbase Ventures, OpenSea, dan lima pemain utama lainnya dalam pendanaan awal yang dipimpin oleh Polychain pada bulan April. Pendanaan itu melampaui penilaian perusahaan menjadi $ 225 juta.

Dibandingkan dengan serangan terhadap jembatan rantai silang pada tahun 2021, serangan tahun ini menyebabkan kerusakan parah pada proyek itu sendiri, VC, dan proyek yang terkait dengan jembatan karena sifat konektivitas jembatan rantai silang.

Fakta bahwa blockchain terdesentralisasi membuatnya lebih mudah untuk dipertahankan. Tapi protokol dan softwarenya semua buatan orang, jadi kemungkinan ada kelemahannya.

Serangan baru-baru ini tidak benar-benar ditujukan pada platform blockchain itu sendiri. Sebaliknya, mereka ditujukan untuk aplikasi suka game, dompet, pertukaran, dan jembatan.

Ini adalah aplikasi web dan seluler yang menggunakan blockchain, tetapi mereka masih memiliki kelemahan keamanan yang sama dengan perangkat lunak tradisional karena mereka masih merupakan aplikasi web dan seluler.

Sejak awal tahun, empat jembatan lintas rantai telah diretas, termasuk Wormhole, Ronin, Horizon, dan Nomad. Tidak ada yang mengalami kerugian kurang dari $100 juta.

Cross-chain Bridge telah meningkatkan interoperabilitas blockchain, menghasilkan pengalaman yang lebih baik bagi pengguna dan pengembang blockchain. Namun, karena kerentanan tertentu, jembatan ini baru-baru ini menjadi target populer bagi penyerang.