- Το περιστατικό Nomad είναι το τρίτο μεγαλύτερο hack κρυπτονομισμάτων της χρονιάς, πίσω από το Wormhole και το Ronin
- Περίπου 41 διευθύνσεις διέλυσαν κρυπτονομίσματα από το πρωτόκολλο
Η γέφυρα Token Nomad έχει υποστεί μια «ξέφρενη δωρεάν για όλους» αφού οι επιτιθέμενοι εισέβαλαν στο πρωτόκολλο για περισσότερα από 190 εκατομμύρια δολάρια σε κρυπτονομίσματα.
Η Nomad, η οποία διαφημίστηκε ως πλατφόρμα «πρώτα στην ασφάλεια» για την αποστολή κουπονιών ERC-20 μεταξύ συμβατών blockchains, επιβεβαίωσε την επιδρομή σε ένα tweet το πρωί της Τρίτης.
Το περιστατικό διαφέρει από άλλα μεγάλης κλίμακας hacks για να ακρωτηριάσουν συμβολικές γέφυρες φέτος. Οι γέφυρες διακριτικών επιτρέπουν στους χρήστες κρυπτογράφησης να μεταφέρουν ψηφιακά στοιχεία μέσω δικτύων κλειδώνοντάς τα πρώτα μέσα σε ένα έξυπνο συμβόλαιο.
Στη συνέχεια, η γέφυρα εκδίδει ένα διακριτικό παραγώγου, ένα «τυλιγμένο περιουσιακό στοιχείο», στην άλλη πλευρά, με τις αξίες τους να υποστηρίζονται από τις αρχικές τους καταθέσεις. Το Nomad υποστηρίζει Ethereum, Avalanche, Evmos και Moonbeam.
Το Hack Wormhole τον Φεβρουάριο είδε τους εισβολείς να εκμεταλλεύονται τον κώδικα έξυπνου συμβολαίου με buggy για να κόψουν τον εαυτό τους 320 εκατομμύρια δολάρια σε Wrapped Ether χωρίς να δημοσιεύσουν την απαιτούμενη εγγύηση.
Η επίθεση στη γέφυρα Axie Infinite Ronin, που αποκαλύφθηκε τον Μάρτιο, περιελάμβανε μια πολύμηνη εκστρατεία phishing για την απόκτηση ιδιωτικών κλειδιών που σχετίζονται με το multisig πορτοφόλι της, η οποία είχε ως αποτέλεσμα την κλοπή κρυπτογράφησης περίπου 625 εκατομμυρίων δολαρίων (και τα δύο περιστατικά εκτιμήθηκαν τη στιγμή της επίθεσης).
Ωστόσο, ο Sam Sun, επικεφαλής ασφάλειας στην εταιρεία επενδύσεων ψηφιακών περιουσιακών στοιχείων Paradigm, εξήγησε σε ένα νήμα στο Twitter ότι οι κλέφτες του Nomad δεν χρειαζόταν να γνωρίζουν τίποτα για τη γλώσσα προγραμματισμού Ethereum Solidity για να ξεφύγουν από την ασφάλεια του χρήστη.
Ο χάκερ της Rari Capital επέστρεψε για να κάνει επιδρομή στο Nomad
Οι προγραμματιστές του Nomad προώθησαν κατά λάθος μια αναβάθμιση ρουτίνας που έλεγε στο πρωτόκολλο να επεξεργάζεται οποιαδήποτε συναλλαγή με το προεπιλεγμένο root hash "0x00", όπου συνήθως τα δίκτυα blockchain απαιτούν μια μοναδική και συγκεκριμένη ρίζα ως απόδειξη ότι η συναλλαγή είναι έγκυρη.
Αυτό σήμαινε ότι το Nomad θα ενέκρινε ουσιαστικά οποιαδήποτε συναλλαγή υποβαλλόταν στο πρωτόκολλο. Αφού ένας εισβολέας συνειδητοποίησε και ξεκίνησε μεγάλες παράνομες μεταφορές, άλλοι χρήστες απλώς αντιγράφουν το σενάριο συναλλαγών τους και αντικατέστησαν τη διεύθυνση του παραλήπτη με τη δική τους, εξήγησε ο Victor Young, επικεφαλής αρχιτέκτονας στο δίκτυο διαλειτουργικότητας Analog.
Για τη Young, ένα βασικό πλεονέκτημα των πλατφορμών έξυπνων συμβολαίων, όπως αυτές που τροφοδοτούν το Nomad, είναι ότι είναι ολοκληρωμένα συστήματα Turing. Μπορούν να υπολογίσουν «σχεδόν όλα όσα μπορεί να κάνει ένας σύγχρονος ψηφιακός υπολογιστής από μαθηματική άποψη», είπε ο Young.
«Δυστυχώς, αυτό εισάγει αμέτρητους και άγνωστους φορείς επίθεσης που ανοίγουν το έξυπνο συμβόλαιο σε hacks», είπε ο Young στο Blockworks. «Όταν το συνδυάζετε με χαλαρούς προγραμματιστές που αποτυγχάνουν να εφαρμόσουν ένα ισχυρό σύνολο μηχανισμών δοκιμών, λαμβάνετε τη γελοία κατάρρευση που βλέπουμε αυτήν τη στιγμή».
Πηγή: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/