- Incydent z Nomadem jest trzecim co do wielkości hackiem kryptowalutowym roku, za Wormhole i Roninem
- Około 41 adresów wyprowadziło kryptowalutę z protokołu
Token bridge Nomad doznał „szaleńczego szaleństwa dla wszystkich” po tym, jak atakujący dokonali nalotu na protokół za ponad 190 milionów dolarów w kryptowalucie.
Nomad, który reklamował się jako platforma „najpierw bezpieczeństwo” do wysyłania tokenów ERC-20 między kompatybilnymi blockchainami, potwierdził nalot we wtorkowym porannym tweecie.
Incydent różni się od innych włamań na dużą skalę mających na celu okaleczenie mostów tokenów w tym roku. Mosty tokenowe umożliwiają użytkownikom kryptograficznym przenoszenie zasobów cyfrowych przez sieci, najpierw blokując je w inteligentnej umowie.
Następnie pomost emituje token instrumentu pochodnego, „zapakowane aktywa” po drugiej stronie, z ich wartościami popartymi ich pierwotnymi depozytami. Nomad obsługuje Ethereum, Avalanche, Evmos i Moonbeam.
Lutowy hack Wormhole pokazał, że atakujący wykorzystali błędny kod inteligentnego kontraktu, aby wybić sobie 320 milionów dolarów w Wrapped Ether bez zamieszczania wymaganych zabezpieczeń.
Atak na most Axie Infinite Ronin, ujawniony w marcu, obejmował miesięczną kampanię phishingową w celu zdobycia kluczy prywatnych związanych z portfelem multisig, w wyniku której skradziono około 625 milionów dolarów (oba incydenty były cenione w momencie ataku).
Ale Sam Sun, szef bezpieczeństwa w firmie Paradigm, zajmującej się inwestycjami w aktywa cyfrowe, wyjaśnił w wątku na Twitterze, że złodzieje Nomada nie musieli nic wiedzieć o Solidity w języku programowania Ethereum, aby uciec z zabezpieczeniami użytkowników.
Haker Rari Capital powrócił do najazdu na Nomada
Deweloperzy Nomada przypadkowo wypchnęli rutynową aktualizację, która nakazywała protokołowi przetwarzanie każdej transakcji z domyślnym hashem roota „0x00”, gdzie zwykle sieci blockchain wymagają unikalnego i specyficznego roota jako dowodu, że transakcja jest ważna.
Oznaczało to, że Nomad skutecznie zatwierdzi każdą transakcję przedstawioną do protokołu. Po tym, jak atakujący zrealizował i zainicjował duże nielegalne transfery, inni użytkownicy po prostu skopiowali i wkleili swój skrypt transakcyjny i zastąpili adres odbiorcy swoim własnym, wyjaśnił Victor Young, główny architekt w sieci interoperacyjności Analog.
Dla Younga kluczową zaletą inteligentnych platform kontraktowych, takich jak te, na których opiera się Nomad, jest to, że są to kompletne systemy Turinga. Potrafią obliczyć „praktycznie wszystko, co nowoczesny komputer cyfrowy może zrobić z matematycznego punktu widzenia” – powiedział Young.
„Niestety wprowadza to niezliczone i nieznane wektory ataków, które otwierają inteligentną umowę na włamania” – powiedział Young Blockworks. „Kiedy połączysz to z luźnymi programistami, którzy nie zaimplementują solidnego zestawu mechanizmów testowych, otrzymasz absurdalny krach, którego obecnie jesteśmy świadkami”.
Źródło: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/