- Incident Nomad je tretím najväčším hackom kryptomien roka, za Wormhole a Roninom
- Z protokolu si kryptomenu odčerpalo približne 41 adries
Token bridge Nomad utrpel „zúrivý bezplatný prístup pre všetkých“ po tom, čo útočníci prepadli protokol za viac ako 190 miliónov dolárov v kryptomene.
Spoločnosť Nomad, ktorá sa predávala ako platforma „na prvom mieste v oblasti bezpečnosti“ na posielanie tokenov ERC-20 medzi kompatibilnými blockchainmi, potvrdila nájazd v utorok ráno na tweete.
Tento incident sa líši od iných rozsiahlych hackingov, ktoré tento rok ochromili symbolické mosty. Tokenové mosty umožňujú používateľom kryptomien prenášať digitálne aktíva cez siete tak, že ich najprv uzamknú v rámci inteligentnej zmluvy.
Most potom vydá odvodený token, „zabalené aktívum“, na druhej strane, s ich hodnotami krytými ich pôvodnými vkladmi. Nomad podporuje Ethereum, Avalanche, Evmos a Moonbeam.
Februárový hack vo Wormhole videl útočníkov, ktorí zneužili chybný kód inteligentnej zmluvy, aby si vyťažili 320 miliónov dolárov v obalenom étere bez toho, aby zložili požadované zabezpečenie.
Útok na most Axie Infinite Ronin, zverejnený v marci, zahŕňal niekoľkomesačnú phishingovú kampaň na získanie súkromných kľúčov spojených s jej multisig peňaženkou, čo viedlo k odcudzeniu kryptomien v hodnote približne 625 miliónov dolárov (oba incidenty boli v čase útoku hodnotené).
Sam Sun, šéf bezpečnosti v investičnej firme Paradigm pre digitálne aktíva, však vo vlákne na Twitteri vysvetlil, že zlodeji Nomad nepotrebujú vedieť nič o programovacom jazyku Ethereum Solidity, aby mohli využiť záruku používateľov.
Hacker Rari Capital sa vrátil k nájazdu na Nomad
Vývojári Nomad omylom posunuli rutinnú aktualizáciu, ktorá prikázala protokolu spracovať akúkoľvek transakciu s predvoleným koreňovým hashom „0x00“, kde zvyčajne blockchainové siete vyžadujú jedinečný a špecifický koreň ako dôkaz, že transakcia je platná.
To znamenalo, že Nomad by efektívne schválil každú transakciu predloženú protokolu. Keď si útočník uvedomil a inicioval veľké nezákonné prevody, ostatní používatelia jednoducho skopírovali a vložili svoj transakčný skript a nahradili adresu prijímača svojou vlastnou, vysvetlil Victor Young, hlavný architekt v sieti interoperability Analog.
Pre Younga je kľúčovou výhodou platforiem pre inteligentné zmluvy, ako sú tie, ktoré poháňajú Nomad, to, že ide o systémy s kompletným Turingom. Dokážu vypočítať „prakticky všetko, čo dokáže moderný digitálny počítač z matematického hľadiska,“ povedal Young.
"Bohužiaľ, toto predstavuje nespočetné množstvo neznámych vektorov útokov, ktoré otvárajú inteligentný kontrakt hackerom," povedal Young pre Blockworks. "Keď to skombinujete s laxnými vývojármi, ktorí nedokážu implementovať robustný súbor testovacích mechanizmov, dostanete smiešne zrútenie, ktorého sme v súčasnosti svedkami."
Zdroj: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/