W poniedziałek zaatakowano cross-chain token bridge Nomad, a hakerom udało się wyprowadzić z protokołu 190 milionów dolarów, wysysając zdecydowaną większość funduszy. Atak Nomad na most krzyżowy był trzecim co do wielkości napadem na kryptowaluty w 2022 roku i dziewiątym co do wielkości wszechczasów.
Nomad Cross-Chain Bridge wykorzystany za 190 milionów dolarów
Mosty międzyłańcuchowe w świecie zdecentralizowanych finansów (defi) po prostu nie mogą złapać przerwy, bez względu na to, jak długo działają, a nawet po przeprowadzeniu audytu mostów. 1 sierpnia 2022 r. most krzyżowo-łańcuchowy Koczownik doznał ataku, w wyniku którego most stracił 190 milionów dolarów w funduszach kryptograficznych. Eksperci ds. bezpieczeństwa w firmie audytorskiej blockchain Certik opublikował raport powypadkowy opisując, co się stało.
„Luka pojawiła się w procesie inicjalizacji, w którym „committedRoot” jest ustawiony na ZERO” – napisał Certik. „Dlatego atakujący byli w stanie ominąć proces weryfikacji wiadomości i usunąć tokeny z umowy pomostowej” – dodał Certik, zauważając:
Exploit wystąpił, gdy rutynowa aktualizacja pozwoliła na ominięcie komunikatów weryfikacyjnych na Nomadzie. Atakujący nadużywali tego do kopiowania/wklejania transakcji i byli w stanie wyczerpać pomost prawie wszystkich środków, zanim udało się je zatrzymać.
Mosty międzyłańcuchowe cierpiały z powodu kolejnych exploitów, odkąd zostały wprowadzone. Pod koniec marca największy hack 2022 widział kradzież 620 milionów dolarów z mostu Ronin firmy Axie Infinity. Naukowcy z Comparitech wyszczególniają, że atak na most Nomad był trzecim co do wielkości naruszeniem w tym roku, według firmy badawczej śledzenie napadów kryptowalut. Podczas gdy Nomad łączył różne sieci blockchain, założyciel i dyrektor generalny AVA Labs, Emin Gün Sirer, napisał na Twitterze o incydencie i powiedział, że most AVAX jest bezpieczny.
„Most Nomad, używany przez nie-lawinowe łańcuchy, został dziś zhakowany”, Gün Sirer napisał. „Nomad był oficjalnym mostem dla EVMOS (Cosmos EVM), Moonbeam (Polkadot EVM) i Milkomeda (kolejna EVM) — nie ma to wpływu na Avalanche Bridge”.
Nomad zebrał 22 miliony dolarów w kwietniu, firma Blockchain Security Certik mówi, że ten konkretny błąd „będzie trudny do wykrycia w przypadku konwencjonalnych praktyk audytu”
Atak na most Nomadów następuje po wzroście projektu w przybliżeniu $ 22.4 mln w finansowaniu zalążkowym w rundzie finansowej prowadzonej przez Polychain Capital. Inni inwestorzy strategiczni, którzy pomogli Nomadowi zebrać fundusze, to 1kx, Ethereal Ventures, Hack.vc, Circle Ventures, Amber, Robot Ventures, Hypersphere, Figment, Dialectic, Archetype i Ledgerprime. Chociaż szeroki audyt mógł wykryć lukę w zabezpieczeniach mostu Nomad, audytorzy blockchain i inteligentnych kontraktów z Certik twierdzą, że atak ten może być trudniejszy do wykrycia w konwencjonalnym audycie.
„Tego typu problem byłby trudny do wykrycia w przypadku konwencjonalnych praktyk audytu, które zakładają, że wszystkie konfiguracje wdrożenia są poprawne, ponieważ ten konkretny błąd został wprowadzony przez błędy w parametrach wdrożenia”, podsumowuje raport Certika dotyczący sytuacji w Nomad. „Jednak szerszy proces audytu i pełnozakresowy test penetracyjny, który obejmuje weryfikację procesów wdrażania, potencjalnie uchwyciłby ten błąd” – dodali audytorzy.
Co sądzisz o niedawnym cross-chainowym exploicie przeciwko mostowi Nomad? Daj nam znać, co myślisz na ten temat w sekcji komentarzy poniżej.
Kredyty obrazowe: Shutterstock, Pixabay, Wiki Commons, Comparitech,
Odpowiedzialność: Ten artykuł ma wyłącznie charakter informacyjny. Nie jest to bezpośrednia oferta ani nakłanianie do kupna lub sprzedaży, ani rekomendacja lub poparcie jakichkolwiek produktów, usług lub firm. Bitcoin.com x nie udziela porad inwestycyjnych, podatkowych, prawnych ani księgowych. Ani firma, ani autor nie są odpowiedzialni, bezpośrednio ani pośrednio, za jakiekolwiek szkody lub straty spowodowane lub rzekomo spowodowane lub w związku z wykorzystaniem lub poleganiem na treściach, towarach lub usługach wymienionych w tym artykule.
Źródło: https://news.bitcoin.com/cross-chain-bridge-nomad-loses-190-million-making-it-2022s-third-largest-crypto-heist/