- Το περιστατικό Nomad είναι το τρίτο μεγαλύτερο hack κρυπτονομισμάτων της χρονιάς, πίσω από το Wormhole και το Ronin
- Περίπου 41 διευθύνσεις διέλυσαν κρυπτονομίσματα από το πρωτόκολλο
Η γέφυρα Token Nomad έχει υποστεί μια «ξέφρενη δωρεάν για όλους» αφού οι επιτιθέμενοι εισέβαλαν στο πρωτόκολλο για περισσότερα από 190 εκατομμύρια δολάρια σε κρυπτονομίσματα.
Η Nomad, η οποία διαφημίστηκε ως πλατφόρμα «πρώτα στην ασφάλεια» για την αποστολή κουπονιών ERC-20 μεταξύ συμβατών blockchains, επιβεβαίωσε την επιδρομή σε ένα tweet το πρωί της Τρίτης.
Το περιστατικό διαφέρει από άλλα μεγάλης κλίμακας hacks για να ακρωτηριάσουν συμβολικές γέφυρες φέτος. Οι γέφυρες διακριτικών επιτρέπουν στους χρήστες κρυπτογράφησης να μεταφέρουν ψηφιακά στοιχεία μέσω δικτύων κλειδώνοντάς τα πρώτα μέσα σε ένα έξυπνο συμβόλαιο.
Στη συνέχεια, η γέφυρα εκδίδει ένα διακριτικό παραγώγου, ένα «τυλιγμένο περιουσιακό στοιχείο», στην άλλη πλευρά, με τις αξίες τους να υποστηρίζονται από τις αρχικές τους καταθέσεις. Το Nomad υποστηρίζει Ethereum, Avalanche, Evmos και Moonbeam.
Το Hack Wormhole τον Φεβρουάριο είδε τους εισβολείς να εκμεταλλεύονται τον κώδικα έξυπνου συμβολαίου με buggy για να κόψουν τον εαυτό τους 320 εκατομμύρια δολάρια σε Wrapped Ether χωρίς να δημοσιεύσουν την απαιτούμενη εγγύηση.
Η επίθεση στη γέφυρα Axie Infinite Ronin, που αποκαλύφθηκε τον Μάρτιο, περιελάμβανε μια πολύμηνη εκστρατεία phishing για την απόκτηση ιδιωτικών κλειδιών που σχετίζονται με το multisig πορτοφόλι της, η οποία είχε ως αποτέλεσμα την κλοπή κρυπτογράφησης περίπου 625 εκατομμυρίων δολαρίων (και τα δύο περιστατικά εκτιμήθηκαν τη στιγμή της επίθεσης).
Ωστόσο, ο Sam Sun, επικεφαλής ασφάλειας στην εταιρεία επενδύσεων ψηφιακών περιουσιακών στοιχείων Paradigm, εξήγησε σε ένα νήμα στο Twitter ότι οι κλέφτες του Nomad δεν χρειαζόταν να γνωρίζουν τίποτα για τη γλώσσα προγραμματισμού Ethereum Solidity για να ξεφύγουν από την ασφάλεια του χρήστη.
Ο χάκερ της Rari Capital επέστρεψε για να κάνει επιδρομή στο Nomad
Οι προγραμματιστές του Nomad προώθησαν κατά λάθος μια αναβάθμιση ρουτίνας που έλεγε στο πρωτόκολλο να επεξεργάζεται οποιαδήποτε συναλλαγή με το προεπιλεγμένο root hash "0x00", όπου συνήθως τα δίκτυα blockchain απαιτούν μια μοναδική και συγκεκριμένη ρίζα ως απόδειξη ότι η συναλλαγή είναι έγκυρη.
Αυτό σήμαινε ότι το Nomad θα ενέκρινε ουσιαστικά οποιαδήποτε συναλλαγή υποβαλλόταν στο πρωτόκολλο. Αφού ένας εισβολέας συνειδητοποίησε και ξεκίνησε μεγάλες παράνομες μεταφορές, άλλοι χρήστες απλώς αντιγράφουν το σενάριο συναλλαγών τους και αντικατέστησαν τη διεύθυνση του παραλήπτη με τη δική τους, εξήγησε ο Victor Young, επικεφαλής αρχιτέκτονας στο δίκτυο διαλειτουργικότητας Analog.
Για τη Young, ένα βασικό πλεονέκτημα των πλατφορμών έξυπνων συμβολαίων, όπως αυτές που τροφοδοτούν το Nomad, είναι ότι είναι ολοκληρωμένα συστήματα Turing. Μπορούν να υπολογίσουν «σχεδόν όλα όσα μπορεί να κάνει ένας σύγχρονος ψηφιακός υπολογιστής από μαθηματική άποψη», είπε ο Young.
«Δυστυχώς, αυτό εισάγει αμέτρητους και άγνωστους φορείς επίθεσης που ανοίγουν το έξυπνο συμβόλαιο σε hacks», είπε ο Young στο Blockworks. «Όταν το συνδυάζετε με χαλαρούς προγραμματιστές που αποτυγχάνουν να εφαρμόσουν ένα ισχυρό σύνολο μηχανισμών δοκιμών, λαμβάνετε τη γελοία κατάρρευση που βλέπουμε αυτήν τη στιγμή».
Ο Young συνταγογραφούσε άλλες πλατφόρμες blockchain δοκιμές από άκρο σε άκρο και επαναλαμβανόμενους ελέγχους κώδικα για να μετριαστεί ο κίνδυνος να συμβεί αυτό αλλού.
Η εταιρεία ασφαλείας Blockchain PeckShield αναφερθεί περίπου 41 διευθύνσεις είχαν κάνει επιδρομή στο Nomad, ένα μείγμα Wrapped Bitcoin και Wrapped Ether μαζί με τα stablecoins DAI και USDC.
Αξίζει να σημειωθεί ότι η ίδια διεύθυνση συνδέεται με την πρωτεύουσα Rari σιδηροπρίονο στα τέλη Απριλίου λέγεται ότι είχε κλέψει 3.4 εκατομμύρια δολάρια σε κρυπτονομίσματα. Λιγότερα από 12,000 δολάρια παραμένουν στα έξυπνα συμβόλαια του Nomad, από περισσότερα από 190 εκατομμύρια δολάρια πριν από την επιδρομή, ανά DeFi Λάμα.
Το περιστατικό Nomad είναι τώρα το τρίτο μεγαλύτερο hack της χρονιάς, πίσω από το Wormhole και τον Ronin. Δεν είναι σαφές τι θα ακολουθήσει για την εταιρεία.
Τόσο οι ομάδες Wormhole όσο και οι ομάδες Axie Infinite συγκέντρωσαν επιχειρηματικά κεφάλαια σε μια προσπάθεια να κάνουν τους χρήστες και τα πρωτόκολλά τους ολοκληρωμένα μετά από τις αντίστοιχες εισβολές τους. Η Blockworks επικοινώνησε με το Nomad για να μάθει περισσότερα για τα σχέδιά τους.
Λάβετε τα κορυφαία νέα και πληροφορίες για τα κρυπτονομίσματα της ημέρας που παραδίδονται στα εισερχόμενά σας κάθε απόγευμα. Εγγραφείτε στο δωρεάν ενημερωτικό δελτίο της Blockworks τώρα.
Πηγή: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/