Quasi il 90% degli indirizzi che hanno preso parte all'hack da 186 milioni di dollari di Nomad Bridge, la scorsa settimana, sono stati identificati come "imitatori", riuscendo, il 1° agosto, a sottrarre un totale di 88 milioni di dollari, come ha rivelato un nuovo rapporto.
In un post del 10 agosto, scritto da Peter Kacherginsky, ricercatore principale di Coinbase per l'intelligence sulle minacce alla blockchain, e da Heidi Wilder, associato senior del team di indagini speciali, i due hanno confermato ciò che molti sospettavano fosse accaduto durante l'hack del bridge il 1° agosto: una volta che i primi hacker hanno capito come prelevare i fondi, centinaia di "imitatori" si sono uniti alla festa.
Secondo i ricercatori, il metodo degli "imitatori" era una variante dell'exploit originale, che utilizzava una falla nello smart contract di Nomad, consentendo agli utenti di prelevare fondi che non erano loro. Gli imitatori hanno quindi copiato lo stesso codice, modificando però il token target, l'importo e gli indirizzi dei destinatari.
Ma mentre i primi due hacker hanno avuto il maggior successo, una volta che il metodo è risultato evidente, è diventata una gara per tutti i partecipanti a prelevare il maggior numero di fondi possibile. Gli analisti di Coinbase hanno anche osservato che gli hacker originali hanno preso di mira prima wrapped-Bitcoin (wBTC), seguito da USD Coin (USDC) e wrapped-ETH (wETH).
Poiché i token wBTC, USDC e wETH erano presenti in maggiore concentrazione nel Nomad Bridge, per gli hacker originali aveva senso sottrarre prima questi.
Gli sforzi dei "white-hat"
Sorprendentemente, la richiesta di Nomad Bridge relativa ai fondi rubati ha prodotto un ritorno del 17% (al 9 agosto), con la maggior parte dei token restituiti sotto forma di USDC (30,2%), Tether (USDT) (15,5%) e wBTC (14,0%).
Poiché gli hacker originali hanno prelevato soprattutto wBTC e wETH, il fatto che la maggior parte dei fondi restituiti sia arrivata sotto forma di USDC e USDT suggerisce che la maggior parte dei capitali restituiti provenga da "imitatori" white-hat. Nel frattempo, circa il 49% dei fondi rubati (al 9 agosto) è stato trasferito altrove, da ciascuno degli indirizzi dei destinatari.
Â
Coinbase ha anche notato che i primi tre indirizzi dei destinatari sono stati finanziati da Tornado Cash, un protocollo basato su Ethereum che consente agli utenti di effettuare transazioni in modo anonimo. Lunedì il Tesoro degli Stati Uniti ha sanzionato tutti gli indirizzi USDC ed ETH collegati al protocollo.
L'hack del Nomad Bridge è diventato il quarto più grande della DeFi di sempre e il terzo più grande del 2022, dopo l'hack del Wormhole Bridge da 250 milioni di dollari di febbraio e l'hack del Ronin Bridge da 540 milioni di dollari di marzo. I bridge cross-chain di questo tipo sono stati accusati di essere troppo centralizzati, il che li rende un luogo ideale da sfruttare per i malintenzionati.