- Incydent z Nomadem jest trzecim co do wielkości hackiem kryptowalutowym roku, za Wormhole i Roninem
- Około 41 adresów wyprowadziło kryptowalutę z protokołu
Token bridge Nomad doznał „szaleńczego szaleństwa dla wszystkich” po tym, jak atakujący dokonali nalotu na protokół za ponad 190 milionów dolarów w kryptowalucie.
Nomad, który reklamował się jako platforma „najpierw bezpieczeństwo” do wysyłania tokenów ERC-20 między kompatybilnymi blockchainami, potwierdził nalot we wtorkowym porannym tweecie.
Incydent różni się od innych włamań na dużą skalę mających na celu okaleczenie mostów tokenów w tym roku. Mosty tokenowe umożliwiają użytkownikom kryptograficznym przenoszenie zasobów cyfrowych przez sieci, najpierw blokując je w inteligentnej umowie.
Następnie pomost emituje token instrumentu pochodnego, „zapakowane aktywa” po drugiej stronie, z ich wartościami popartymi ich pierwotnymi depozytami. Nomad obsługuje Ethereum, Avalanche, Evmos i Moonbeam.
Lutowy hack Wormhole pokazał, że atakujący wykorzystali błędny kod inteligentnego kontraktu, aby wybić sobie 320 milionów dolarów w Wrapped Ether bez zamieszczania wymaganych zabezpieczeń.
Atak na most Axie Infinite Ronin, ujawniony w marcu, obejmował miesięczną kampanię phishingową w celu zdobycia kluczy prywatnych związanych z portfelem multisig, w wyniku której skradziono około 625 milionów dolarów (oba incydenty były cenione w momencie ataku).
Ale Sam Sun, szef bezpieczeństwa w firmie Paradigm, zajmującej się inwestycjami w aktywa cyfrowe, wyjaśnił w wątku na Twitterze, że złodzieje Nomada nie musieli nic wiedzieć o Solidity w języku programowania Ethereum, aby uciec z zabezpieczeniami użytkowników.
Haker Rari Capital powrócił do najazdu na Nomada
Deweloperzy Nomada przypadkowo wypchnęli rutynową aktualizację, która nakazywała protokołowi przetwarzanie każdej transakcji z domyślnym hashem roota „0x00”, gdzie zwykle sieci blockchain wymagają unikalnego i specyficznego roota jako dowodu, że transakcja jest ważna.
Oznaczało to, że Nomad skutecznie zatwierdzi każdą transakcję przedstawioną do protokołu. Po tym, jak atakujący zrealizował i zainicjował duże nielegalne transfery, inni użytkownicy po prostu skopiowali i wkleili swój skrypt transakcyjny i zastąpili adres odbiorcy swoim własnym, wyjaśnił Victor Young, główny architekt w sieci interoperacyjności Analog.
Dla Younga kluczową zaletą inteligentnych platform kontraktowych, takich jak te, na których opiera się Nomad, jest to, że są to kompletne systemy Turinga. Potrafią obliczyć „praktycznie wszystko, co nowoczesny komputer cyfrowy może zrobić z matematycznego punktu widzenia” – powiedział Young.
„Niestety wprowadza to niezliczone i nieznane wektory ataków, które otwierają inteligentną umowę na włamania” – powiedział Young Blockworks. „Kiedy połączysz to z luźnymi programistami, którzy nie zaimplementują solidnego zestawu mechanizmów testowych, otrzymasz absurdalny krach, którego obecnie jesteśmy świadkami”.
Young zalecił kompleksowe testy innych platform blockchain i powtarzające się audyty kodu, aby pomóc złagodzić ryzyko wystąpienia tego w innym miejscu.
Firma PeckShield zajmująca się bezpieczeństwem Blockchain zgłaszane około 41 adresów zaatakowało Nomad, mieszankę Wrapped Bitcoin i Wrapped Ether wraz ze stablecoinami DAI i USDC.
Warto zauważyć, że ten sam adres związany z Rari Capital siekać pod koniec kwietnia skradziono 3.4 miliona dolarów w kryptowalucie. W inteligentnych kontraktach Nomada pozostało mniej niż 12,000 190 USD, w porównaniu z ponad XNUMX milionami USD przed nalotem, na Lama DeFi.
Incydent z Nomadem jest teraz trzecim co do wielkości hackiem roku, za Wormhole i Roninem. Nie wiadomo, co dalej z firmą.
Zarówno zespoły Wormhole, jak i Axie Infinite zebrały kapitał wysokiego ryzyka, aby po ich włamaniach połączyć zarówno użytkowników, jak i protokoły. Blockworks skontaktował się z Nomadem, aby dowiedzieć się więcej o ich planach.
Otrzymuj najważniejsze wiadomości i spostrzeżenia dotyczące kryptowalut każdego wieczoru na swoją skrzynkę odbiorczą. Zapisz się do bezpłatnego biuletynu Blockworks teraz.
Źródło: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/