- Nomad-tapaus on vuoden kolmanneksi suurin kryptovaluuttahakkerointi Wormholen ja Roninin jälkeen
- Noin 41 osoitetta siirsi kryptovaluuttaa protokollasta
Token-silta Nomad on kärsinyt "kiihkeästä ilmaiseksi kaikille", kun hyökkääjät tekivät protokollaan yli 190 miljoonan dollarin kryptovaluutat.
Nomad, joka markkinoi itseään "turvallisuus-ensimmäisenä" alustana ERC-20-tunnusten lähettämiseen yhteensopivien lohkoketjujen välillä, vahvisti ratsian tiistaiaamisella twiitillä.
Tapaus eroaa muista tämän vuoden suurista hakkeroista, jotka lamauttavat merkkisiltoja. Token-siltojen avulla krypton käyttäjät voivat siirtää digitaalista omaisuutta verkkojen yli lukitsemalla ne ensin älykkään sopimuksen sisään.
Silta antaa sitten johdannaisen tokenin, "kääretyn omaisuuden" toiselle puolelle, jonka arvot ovat taattu alkuperäisillä talletuksillaan. Nomad tukee Ethereumia, Avalanchea, Evmosia ja Moonbeamia.
Helmikuun Wormhole-hakkerointi näki, että hyökkääjät käyttivät bugista älykästä sopimuskoodia lyödäkseen itselleen 320 miljoonaa dollaria Wrapped Etherissä lähettämättä vaadittuja vakuuksia.
Maaliskuussa julkistettu Axie Infinite Ronin -siltahyökkäys sisälsi kuukausia kestäneen tietojenkalastelukampanjan multisig-lompakkoon liittyvien yksityisten avainten hankkimiseksi, mikä johti noin 625 miljoonan dollarin kryptovarastuksiin (molemmat tapaukset arvostettiin hyökkäyksen aikaan).
Mutta Sam Sun, digitaalisen omaisuuden sijoitusyhtiö Paradigmin tietoturvapäällikkö, selitti Twitterissä, että Nomadin varkaiden ei tarvinnut tietää mitään Ethereum-ohjelmointikielestä Solidity päästäkseen käyttäjien vakuuksista.
Rari Capitalin hakkeri palasi hyökkäämään Nomadiin
Nomadin kehittäjät olivat vahingossa työstäneet rutiinipäivityksen, joka käski protokollaa käsittelemään kaikki tapahtumat oletusjuurihajautusarvolla "0x00", missä yleensä lohkoketjuverkot vaativat ainutlaatuisen ja erityisen juurimerkin todisteeksi tapahtuman pätevyydestä.
Tämä tarkoitti, että Nomad hyväksyisi tehokkaasti kaikki protokollaan lähetetyt tapahtumat. Kun hyökkääjä havaitsi ja aloitti suuret laittomat siirrot, muut käyttäjät yksinkertaisesti kopioivat ja liittivät tapahtumakoodinsa ja korvasivat vastaanottajan osoitteen omalla osoitteellaan, selitti Victor Young, Analogin yhteentoimivuusverkon pääarkkitehti.
Youngin mielestä Nomadin kaltaisten älykkäiden sopimusalustojen tärkein etu on, että ne ovat Turingin täydellisiä järjestelmiä. He voivat laskea "lähes kaiken, mitä nykyaikainen digitaalinen tietokone voi tehdä matemaattisesta näkökulmasta", Young sanoi.
"Valitettavasti tämä tuo mukanaan lukemattomia ja tuntemattomia hyökkäysvektoreita, jotka avaavat älykkään sopimuksen hakkeroille", Young kertoi Blockworksille. "Kun yhdistät tämän löyhien kehittäjien kanssa, jotka eivät pysty toteuttamaan vankkoja testausmekanismeja, saat naurettavan romahduksen, jota tällä hetkellä todistamme."
Lähde: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/