Miliardy dolarów wartości zostały zmiecione z rynku kryptowalut w ostatnich miesiącach. Firmy z branży odczuwają ból. Firmy pożyczkowe i handlowe stoją w obliczu kryzysu płynności, a wiele firm ogłosiło zwolnienia.
Yu Chun Christopher Wong | S3studio | Obrazy Getty
Hakerzy wyssali prawie 200 milionów dolarów w kryptowalucie z Nomad, narzędzia, które pozwala użytkownikom wymieniać tokeny z jednego łańcucha bloków na inny, w kolejnym ataku, który uwidocznił słabości zdecentralizowanej przestrzeni finansowej.
Nomad przyznał się do exploita w tweecie pod koniec poniedziałku.
„Zdajemy sobie sprawę z incydentu związanego z mostem tokenów Nomad” – powiedział startup. „Obecnie prowadzimy dochodzenie i dostarczymy aktualizacje, gdy je będziemy mieć”.
Nie jest do końca jasne, w jaki sposób zaaranżowano atak lub czy Nomad planuje zwrócić użytkownikom, którzy stracili tokeny w ataku. Firma, która reklamuje się jako usługa „bezpiecznego przesyłania wiadomości międzysieciowych”, nie była od razu dostępna do komentowania, gdy skontaktowała się z CNBC.
Eksperci ds. bezpieczeństwa Blockchain opisali exploita jako „darmowy dla wszystkich”. Każdy, kto miał wiedzę na temat exploita i sposobu jego działania, mógł wykorzystać lukę i wypłacić pewną liczbę tokenów od Nomada — coś w rodzaju bankomatu wyrzucającego pieniądze za naciśnięciem jednego przycisku.
Zaczęło się od aktualizacji kodu Nomada. Jedna część kodu była oznaczana jako ważna za każdym razem, gdy użytkownicy decydowali się zainicjować transfer, co pozwoliło złodziejom wypłacić więcej aktywów niż zdeponowano na platformie. Gdy inni napastnicy dowiedzieli się, co się dzieje, rozmieścili armie botów do przeprowadzania ataków naśladowców.
„Bez wcześniejszego doświadczenia w programowaniu, każdy użytkownik może po prostu skopiować oryginalne dane połączeń transakcji atakujących i zastąpić ich adres swoim adresem, aby wykorzystać protokół” – powiedział Victor Young, założyciel i główny architekt startupu kryptograficznego Analog.
„W przeciwieństwie do poprzednich ataków, hack Nomad stał się ogólnodostępny, w którym wielu użytkowników zaczęło opróżniać sieć, po prostu odtwarzając oryginalne dane połączeń transakcji atakujących”.
Sam Sun, partner badawczy w firmie inwestycyjnej Paradigm zajmującej się kryptowalutami, opisane exploit jako „jeden z najbardziej chaotycznych hacków, jakie Web3 kiedykolwiek widział” — Web3 jest hipotetyczną przyszłą iteracją Internetu zbudowaną wokół technologii blockchain.
Nomad to tak zwany „most”, narzędzie, które pozwala użytkownikom wymieniać tokeny i informacje między różnymi sieciami kryptograficznymi. Są używane jako alternatywa dla dokonywania transakcji bezpośrednio na blockchainie, takim jak Ethereum, która może naliczać użytkownikom wysokie opłaty manipulacyjne, gdy naraz dzieje się dużo aktywności.
Przypadki luk w zabezpieczeniach i złego projektu sprawiły, że mosty stały się głównym celem hakerów, którzy chcą oszukać inwestorów spośród milionów. Według raportu firmy Elliptic, firmy zajmującej się zgodnością z kryptowalutami, w 1 r. skradziono ponad miliard dolarów w aktywach kryptograficznych.
W kwietniu w ciągu kilku lat wykorzystano most blockchain o nazwie Ronin Napad na krypto za 600 milionów dolarów, które od tego czasu urzędnicy amerykańscy przypisują państwu północnokoreańskiemu. Kilka miesięcy później, Harmony, inny most, stracił 100 milionów dolarów w podobnym ataku.
Podobnie jak Ronin i Harmony, Nomad został zaatakowany przez błąd w kodzie — ale było kilka różnic. Dzięki tym atakom hakerzy byli w stanie odzyskać klucze prywatne potrzebne do przejęcia kontroli nad siecią i rozpoczęcia wyprowadzania tokenów. W przypadku Nomada było to znacznie prostsze. Rutynowa aktualizacja mostka umożliwiła użytkownikom fałszowanie transakcji i ucieczkę z kryptowalutami o wartości milionów.
Źródło: https://www.cnbc.com/2022/08/02/hackers-drain-nearly-200-million-from-crypto-startup-nomad.html