Тред: Nomad Bridge — $190M за 90 минут, потому что украсть мог любой
1 августа 2022 года. Кросс-чейн мост Nomad опустошён на $190M. Никакой изощрённости. Никакой команды элитных хакеров. Простой copy-paste эксплойт, который мог выполнить любой человек с браузером.
Вот как выглядит «permissionless theft».
---
Nomad только прошёл аудит и считался протоколом с продвинутым подходом к безопасности. Затем плановое обновление привнесло критический баг: система была инициализирована с нулевым значением доверенного корня — 0x00.
В криптографии «доверенный корень» используется для верификации сообщений. Нулевое значение означало: система по умолчанию принимает ЛЮБОЕ сообщение как достоверное.
→ Атакующий обнаружил это в блокчейне
→ Скопировал оригинальную транзакцию и просто поменял адрес получателя на свой
→ Сработало
→ Метод был опубликован публично
---
Дальше произошло нечто невероятное. Сотни кошельков — большинство из них просто случайные наблюдатели без каких-либо технических навыков — скопировали транзакцию. Аналитики зафиксировали более 300 уникальных адресов, одновременно дренирующих мост.
Некоторые впоследствии вернули средства, назвав себя «белыми хакерами». Большинство — нет.
→ $190M слито менее чем за 90 минут
→ Крупнейшая единичная кража: $50M с одного адреса
→ Nomad вернули ~$37M добровольно
→ Чистые потери: около $153M
---
Nomad прошёл аудит от Quantstamp. Роковое обновление вышло после аудита. Это повторяющаяся закономерность в DeFi: аудиты дают моментальный снимок, а не постоянную гарантию. Одна изменённая строка кода после аудита — и всё.
Проблема системная. Кросс-чейн мосты аккумулируют огромные концентрации стоимости, одновременно оставаясь технически сложными — они затрагивают несколько блокчейнов, слои смарт-контрактов и системы криптографической верификации.
→ 2022 год: более $2B украдено с мостов
→ Ronin: $625M. Wormhole: $320M. Nomad: $190M. Horizon: $100M
→ Мосты — наиболее эксплуатируемая поверхность в крипто
---
Nomad попытался перезапуститься с новой архитектурой безопасности. TVL так и не восстановился.
Урок: в permissionless-системах один баг обнаруживается не одним атакующим. Его обнаруживают все одновременно.
#Nomad #мост #DeFi #взлом #крипто #bridge
Crypto Scandals & History
npub15p…f7gsy
2026-03-27 03:00:06 UTC
Author Public Key
npub15p2zxf47nwy6mxhvd5mjjzz4a4gzv8stkg6gfsug0a3p59l2pw9saf7gsySeen on
wss://relay.damus.ioPublished at
2026-03-27 03:00:06 UTCEvent JSON
{
"id": "a9f15d931b2149618c91ee5381ed4b1d45e40a896340b2e0483d98e96c229bea",
"pubkey": "a0542326be9b89ad9aec6d37290855ed50261e0bb23484c3887f621a17ea0b8b",
"created_at": 1774580406,
"kind": 1,
"tags": [
[
"t",
"nomad"
],
[
"t",
"мост"
],
[
"t",
"defi"
],
[
"t",
"взлом"
],
[
"t",
"hack"
]
],
"content": "Тред: Nomad Bridge — $190M за 90 минут, потому что украсть мог любой\n\n1 августа 2022 года. Кросс-чейн мост Nomad опустошён на $190M. Никакой изощрённости. Никакой команды элитных хакеров. Простой copy-paste эксплойт, который мог выполнить любой человек с браузером.\n\nВот как выглядит «permissionless theft».\n\n---\n\nNomad только прошёл аудит и считался протоколом с продвинутым подходом к безопасности. Затем плановое обновление привнесло критический баг: система была инициализирована с нулевым значением доверенного корня — 0x00.\n\nВ криптографии «доверенный корень» используется для верификации сообщений. Нулевое значение означало: система по умолчанию принимает ЛЮБОЕ сообщение как достоверное.\n\n→ Атакующий обнаружил это в блокчейне\n→ Скопировал оригинальную транзакцию и просто поменял адрес получателя на свой\n→ Сработало\n→ Метод был опубликован публично\n\n---\n\nДальше произошло нечто невероятное. Сотни кошельков — большинство из них просто случайные наблюдатели без каких-либо технических навыков — скопировали транзакцию. Аналитики зафиксировали более 300 уникальных адресов, одновременно дренирующих мост.\n\nНекоторые впоследствии вернули средства, назвав себя «белыми хакерами». Большинство — нет.\n\n→ $190M слито менее чем за 90 минут\n→ Крупнейшая единичная кража: $50M с одного адреса\n→ Nomad вернули ~$37M добровольно\n→ Чистые потери: около $153M\n\n---\n\nNomad прошёл аудит от Quantstamp. Роковое обновление вышло после аудита. Это повторяющаяся закономерность в DeFi: аудиты дают моментальный снимок, а не постоянную гарантию. Одна изменённая строка кода после аудита — и всё.\n\nПроблема системная. Кросс-чейн мосты аккумулируют огромные концентрации стоимости, одновременно оставаясь технически сложными — они затрагивают несколько блокчейнов, слои смарт-контрактов и системы криптографической верификации.\n\n→ 2022 год: более $2B украдено с мостов\n→ Ronin: $625M. Wormhole: $320M. Nomad: $190M. Horizon: $100M\n→ Мосты — наиболее эксплуатируемая поверхность в крипто\n\n---\n\nNomad попытался перезапуститься с новой архитектурой безопасности. TVL так и не восстановился.\n\nУрок: в permissionless-системах один баг обнаруживается не одним атакующим. Его обнаруживают все одновременно.\n\n#Nomad #мост #DeFi #взлом #крипто #bridge",
"sig": "be39fc4630d3b85b9b53989ca7a7806a93896d3da74f2910e6d1bdba38a8b00900ba1156dbad224002d6ee5fc5935bbd245d6fbebf389416b7ae4bdfdb496364"
}