Nomad Bridge cierpi na najazd w wysokości 190 mln USD

Most krzyżowy Nomad Bridge stał się głównym celem hakerów i… szabrowników, a Bóg wie, co jeszcze…

Nomad Bridge, protokół umożliwiający interakcje między różnymi łańcuchami bloków, został w tym tygodniu zhakowany. Hakerzy wykorzystali luki mostu i ukradł aktywa o wartości ponad 190 milionów dolarów.

Aktywa objęte incydentem obejmują WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL i C3. Nomad to kolejna nazwa, która dołączyła do listy pechowych mostów pod poważnymi atakami po Axie Infinity i Horizon.

Nomad Bridge został trafiony – w wielkim stylu

Pierwsza podejrzana transakcja miała miejsce 2 sierpnia, kiedy hakerzy próbowali przenieść z mostu 100 owiniętych bitcoinów (WBTC) o równowartości 2.3 miliona dolarów.

Po wykryciu problemu z możliwymi dalszymi exploitami oportuniści wykorzystali lukę, zreplikowali informacje o transakcjach hakera, zmienili oryginalny adres na ich adresy i pomyślnie wycofali pieniądze.

Exploit tego czasu jest łatwy do zduplikowania, co wyjaśnia, dlaczego jest to najszybszy i najbardziej chaotyczny atak.

Każdy na Discord projektu może po prostu skopiować pierwszą transakcję napastnika i zmienić adres, a następnie nacisnąć wyślij przez Etherscan, losowo otrzyma tysiąc dolarów za txid.

Jak to się w ogóle mogło stać?

Ponieważ incydent jest nadal badany, zhakowany projekt nie dostarczył żadnych dalszych wyjaśnień. Jednak niektórzy badacze kryptowalut i eksperci wskazali realne odpowiedzi.

Dziki zachód finansów

Według badacza Paradigm, Sama Suna, luka w zabezpieczeniach wynika z innego błędu wykrytego i zgłoszonego Nomadowi przez jednostkę Quantstamp zajmującą się audytem inteligentnych kontraktów na początku czerwca.

Projekt zajął się drugim problemem, ale w trakcie tego procesu zmienił się na root 0x000…, co spowodowało reperkusje, które wystąpiły.

Każda transakcja przejdzie etap weryfikacji (weryfikacji), aby upewnić się, że jest ważna. I chociaż root jest niezbędny do tej weryfikacji, programista zostawił go na 0x00, a ten kod identyfikujący root automatycznie zapewnia, że ​​wszystkie transakcje są prawidłowe.

Zespół Nomad wydał ostrzeżenia o zdarzeniu związanym z mostem tokenów Nomad niedługo po tym, jak się o tym dowiedział.

Według oficjalnego wątku Nomad na Twitterze most Nomad został zamknięty po ataku. Zespół stwierdził, że współpracuje z organami ścigania w celu dalszego zbadania zdarzenia.

Dowcipnie

„Zdajemy sobie sprawę, że podszywający się podszywają się pod Nomada i podają fałszywe adresy w celu zbierania funduszy. Nie dostarczamy jeszcze instrukcji dotyczących zwrotu środków pomostowych. Zignoruj ​​komunikaty ze wszystkich kanałów innych niż oficjalny kanał Nomada: @nomadxyz_”.

Nomad to świetny pomysł

Nomad to most, który umożliwia przesyłanie tokenów między różnymi łańcuchami bloków, takimi jak Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 i Moonbeam (GLMR) za pośrednictwem systemu przesyłania wiadomości Nomad.

Protokół ma szeroki zakres możliwości aplikacyjnych i może być używany do tworzenia aplikacji cross-chain.

Nomad niedawno ujawnił, że z powodzeniem zebrał 22 miliony dolarów od wiodących w branży postaci, w tym Coinbase Ventures, OpenSea i pięciu innych głównych graczy w funduszu seed prowadzonym w kwietniu przez Polychain. Finansowanie przekroczyło wycenę firmy do 225 milionów dolarów.

W porównaniu z atakami na mosty międzyłańcuchowe w 2021 r. ataki te w tym roku spowodowały poważne szkody w samym projekcie, VC i projektach związanych z mostami ze względu na charakter łączności mostu międzyłańcuchowego.

Fakt, że blockchain jest zdecentralizowany, ułatwia obronę. Ale protokoły i oprogramowanie zostały stworzone przez ludzi, więc możliwe jest, że istnieją słabości.

Ostatnie ataki nie są tak naprawdę wymierzone w samą platformę blockchain. Zamiast tego są skierowane do aplikacji jak gry, portfele, wymianai mosty.

Są to aplikacje internetowe i mobilne, które wykorzystują blockchain, ale nadal mają te same luki w zabezpieczeniach, co tradycyjne oprogramowanie, ponieważ nadal są aplikacjami internetowymi i mobilnymi.

Od początku roku zhakowano cztery mosty krzyżowe, w tym Wormhole, Ronin, Horizon i Nomad. Nikt nie ma straty mniejszej niż 100 milionów dolarów.

Cross-chain Bridge poprawił interoperacyjność blockchain, zapewniając lepsze wrażenia dla użytkowników i programistów blockchain. Jednak ze względu na określone luki mosty te stały się ostatnio popularnym celem atakujących.