- Incident Nomad je tretím najväčším hackom kryptomien roka, za Wormhole a Roninom
- Z protokolu si kryptomenu odčerpalo približne 41 adries
Token bridge Nomad utrpel „zúrivý bezplatný prístup pre všetkých“ po tom, čo útočníci prepadli protokol za viac ako 190 miliónov dolárov v kryptomene.
Spoločnosť Nomad, ktorá sa predávala ako platforma „na prvom mieste v oblasti bezpečnosti“ na posielanie tokenov ERC-20 medzi kompatibilnými blockchainmi, potvrdila nájazd v utorok ráno na tweete.
Tento incident sa líši od iných rozsiahlych hackingov, ktoré tento rok ochromili symbolické mosty. Tokenové mosty umožňujú používateľom kryptomien prenášať digitálne aktíva cez siete tak, že ich najprv uzamknú v rámci inteligentnej zmluvy.
Most potom vydá odvodený token, „zabalené aktívum“, na druhej strane, s ich hodnotami krytými ich pôvodnými vkladmi. Nomad podporuje Ethereum, Avalanche, Evmos a Moonbeam.
Februárový hack vo Wormhole videl útočníkov, ktorí zneužili chybný kód inteligentnej zmluvy, aby si vyťažili 320 miliónov dolárov v obalenom étere bez toho, aby zložili požadované zabezpečenie.
Útok na most Axie Infinite Ronin, zverejnený v marci, zahŕňal niekoľkomesačnú phishingovú kampaň na získanie súkromných kľúčov spojených s jej multisig peňaženkou, čo viedlo k odcudzeniu kryptomien v hodnote približne 625 miliónov dolárov (oba incidenty boli v čase útoku hodnotené).
Sam Sun, šéf bezpečnosti v investičnej firme Paradigm pre digitálne aktíva, však vo vlákne na Twitteri vysvetlil, že zlodeji Nomad nepotrebujú vedieť nič o programovacom jazyku Ethereum Solidity, aby mohli využiť záruku používateľov.
Hacker Rari Capital sa vrátil k nájazdu na Nomad
Vývojári Nomad omylom posunuli rutinnú aktualizáciu, ktorá prikázala protokolu spracovať akúkoľvek transakciu s predvoleným koreňovým hashom „0x00“, kde zvyčajne blockchainové siete vyžadujú jedinečný a špecifický koreň ako dôkaz, že transakcia je platná.
To znamenalo, že Nomad by efektívne schválil každú transakciu predloženú protokolu. Keď si útočník uvedomil a inicioval veľké nezákonné prevody, ostatní používatelia jednoducho skopírovali a vložili svoj transakčný skript a nahradili adresu prijímača svojou vlastnou, vysvetlil Victor Young, hlavný architekt v sieti interoperability Analog.
Pre Younga je kľúčovou výhodou platforiem pre inteligentné zmluvy, ako sú tie, ktoré poháňajú Nomad, to, že ide o systémy s kompletným Turingom. Dokážu vypočítať „prakticky všetko, čo dokáže moderný digitálny počítač z matematického hľadiska,“ povedal Young.
"Bohužiaľ, toto predstavuje nespočetné množstvo neznámych vektorov útokov, ktoré otvárajú inteligentný kontrakt hackerom," povedal Young pre Blockworks. "Keď to skombinujete s laxnými vývojármi, ktorí nedokážu implementovať robustný súbor testovacích mechanizmov, dostanete smiešne zrútenie, ktorého sme v súčasnosti svedkami."
Young predpísal komplexné testy iných blockchainových platforiem a opakované audity kódu, aby pomohli zmierniť riziko, že sa to stane inde.
Blockchain bezpečnostná firma PeckShield hlásené asi 41 adries prepadlo Nomad, zmes Wrapped Bitcoin a Wrapped Ether popri stablecoinoch DAI a USDC.
Najmä rovnaká adresa spojená s hlavným mestom Rari kopnutie koncom apríla údajne ukradli 3.4 milióna dolárov v kryptomene. V inteligentných zmluvách spoločnosti Nomad zostáva menej ako 12,000 190 USD, čo je pokles z viac ako XNUMX miliónov USD pred raziou. DeFi Lama.
Incident Nomad je teraz tretím najväčším hackom roka, po Wormhole a Ronin. Čo bude s firmou ďalej, nie je jasné.
Tímy Wormhole aj Axie Infinite získali rizikový kapitál v snahe, aby boli ich používatelia aj protokoly celistvé po ich príslušných hackoch. Blockworks oslovil Nomad, aby sa dozvedel viac o ich plánoch.
Získajte najlepšie denné kryptografické správy a štatistiky každý večer do svojej schránky. Prihláste sa na odber bezplatného bulletinu Blockworks teraz.
Zdroj: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/