- Incidentul Nomad este al treilea cel mai mare hack de criptomonede al anului, în spatele Wormhole și Ronin
- Aproximativ 41 de adrese au sifonat criptomoneda din protocol
Token bridge Nomad a suferit un „liber pentru toți” după ce atacatorii au atacat protocolul pentru mai mult de 190 de milioane de dolari în criptomonedă.
Nomad, care s-a prezentat ca o platformă „în primul rând pe securitate” pentru trimiterea de jetoane ERC-20 între blockchain-uri compatibile, a confirmat raidul într-un tweet de marți dimineață.
Incidentul diferă de alte hack-uri la scară largă pentru a paraliza podurile de simboluri anul acesta. Token bridge-urile permit utilizatorilor cripto să port activele digitale prin rețele, blocându-le mai întâi într-un contract inteligent.
Apoi, puntea emite un jeton derivat, un „activ înfășurat”, pe de altă parte, cu valorile susținute de depozitele lor inițiale. Nomad acceptă Ethereum, Avalanche, Evmos și Moonbeam.
Hackul din februarie Wormhole i-a văzut pe atacatori să exploateze codul de contract inteligent pentru a-și bate 320 de milioane de dolari în Wrapped Ether fără a posta garanția necesară.
Atacul pe puntea Axie Infinite Ronin, dezvăluit în martie, a implicat o campanie de phishing de luni de zile pentru achiziționarea de chei private asociate portofelului său multisig, care a dus la furtul de criptare de aproximativ 625 de milioane de dolari (ambele incidente evaluate la momentul atacului).
Dar Sam Sun, șeful de securitate la firma de investiții în active digitale Paradigm, a explicat într-un thread de Twitter că hoții lui Nomad nu aveau nevoie să știe nimic despre limbajul de programare Ethereum Solidity pentru a se descurca cu garanția utilizatorului.
Hackerul Rari Capital a revenit pentru a ataca Nomad
Dezvoltatorii Nomad au impulsionat accidental o actualizare de rutină care a spus protocolului să proceseze orice tranzacție cu hash rădăcină implicit „0x00”, unde de obicei rețelele blockchain necesită o rădăcină unică și specifică ca dovadă că tranzacția este validă.
Acest lucru însemna că Nomad ar aproba efectiv orice tranzacție transmisă protocolului. După ce un atacator a realizat și a inițiat transferuri ilicite mari, alți utilizatori pur și simplu și-au copiat-lipit scriptul de tranzacție și au înlocuit adresa destinatarului cu propria lor, a explicat Victor Young, arhitect șef la rețeaua de interoperabilitate Analog.
Pentru Young, un avantaj cheie al platformelor de contracte inteligente, cum ar fi cele care alimentează Nomad, este că sunt sisteme complete Turing. Ei pot calcula „practic tot ce poate face un computer digital modern din punct de vedere matematic”, a spus Young.
„Din păcate, acest lucru introduce nenumărați și necunoscuți vectori de atac care deschid contractul inteligent la hack-uri”, a spus Young pentru Blockworks. „Atunci când combini acest lucru cu dezvoltatorii lași care nu reușesc să implementeze un set robust de mecanisme de testare, obții criza ridicolă la care asistăm în prezent.”
Young a prescris altor platforme blockchain teste end-to-end și audituri repetate de cod pentru a ajuta la atenuarea riscului ca acest lucru să se întâmple în altă parte.
Firma de securitate blockchain PeckShield raportate aproximativ 41 de adrese au atacat Nomad, un amestec de Wrapped Bitcoin și Wrapped Ether alături de stablecoins DAI și USDC.
De remarcat, aceeași adresă asociată cu Capitala Rari hack la sfârșitul lunii aprilie, sa spus că ar fi furat 3.4 milioane de dolari în criptomonede. Mai puțin de 12,000 de dolari rămân în contractele inteligente ale Nomad, în scădere de la peste 190 de milioane de dolari înainte de raid, per DeFi Llama.
Incidentul Nomad este acum al treilea cel mai mare hack al anului, în spatele Wormhole și Ronin. Nu este clar ce urmează pentru firmă.
Atât echipele Wormhole, cât și Axie Infinite au strâns capital de risc în încercarea de a-și completa utilizatorii și protocoalele în urma hackurilor lor respective. Blockworks a contactat Nomad pentru a afla mai multe despre planurile lor.
Primiți în căsuța dvs. de e-mail cele mai bune știri și informații despre criptomonede ale zilei în fiecare seară. Abonați-vă la buletinul informativ gratuit al Blockworks acum.
Sursa: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/