Милиарди долари стойност бяха изтрити от пазара на криптовалута през последните месеци. Компаниите в индустрията усещат болката. Фирмите за кредитиране и търговия са изправени пред криза на ликвидността и много фирми обявиха съкращения.
Ю Чун Кристофър Уонг | S3studio | Getty Images
Хакери източиха почти 200 милиона долара в криптовалута от Nomad, инструмент, който позволява на потребителите да разменят токени от една блокова верига в друга, в още една атака, подчертаваща слабостите в децентрализираното финансово пространство.
Nomad призна експлойта в туит късно в понеделник.
„Наясно сме с инцидента, свързан с Nomad token bridge“, каза стартъпът. „В момента проучваме и ще предоставим актуализации, когато ги имаме.“
Не е напълно ясно как е организирана атаката или дали Nomad планира да възстанови разходите на потребителите, които са загубили токени при атаката. Компанията, която се рекламира като услуга за „сигурни междуверижни съобщения“, не беше веднага достъпна за коментар, когато се свърза с CNBC.
Експертите по сигурността на блокчейн описаха експлойта като „безплатен за всички“. Всеки, който познава експлойта и как работи, може да се възползва от недостатъка и да изтегли количество токени от Nomad - нещо като банкомат, който бълва пари с натискане на бутон.
Започна с надстройка до кода на Nomad. Една част от кода беше маркирана като валидна всеки път, когато потребителите решиха да инициират трансфер, което позволи на крадците да изтеглят повече активи, отколкото бяха депозирани в платформата. След като други нападатели разбраха какво се случва, те разположиха армии от ботове, за да извършат копиращи атаки.
„Без предишен опит в програмирането всеки потребител би могъл просто да копира данните от оригиналните транзакционни повиквания на нападателите и да замени адреса с техния, за да използва протокола“, каза Виктор Йънг, основател и главен архитект на крипто стартъпа Analog.
„За разлика от предишните атаки, хакването на Nomad стана безплатно за всички, при което множество потребители започнаха да изтощават мрежата, като просто възпроизвеждат данните за повикване за транзакция на оригиналния нападател.“
Сам Сън, изследователски партньор в крипто-фокусирана инвестиционна фирма Paradigm, описан експлойта като „един от най-хаотичните хакове, които Web3 някога е виждал“ — Web3 е хипотетична бъдеща итерация на интернет, изградена около блокчейн технологията.
Nomad е това, което е известно като „мост“, инструмент, който позволява на потребителите да обменят токени и информация между различни крипто мрежи. Те се използват като алтернатива на извършването на транзакции директно в блокчейн като Ethereum, което може да таксува на потребителите високи такси за обработка, когато има много дейности, които се извършват едновременно.
Случаи на уязвимости и лош дизайн превърнаха мостовете в основна мишена за хакери, които искат да измами инвеститори за милиони. Повече от 1 милиард долара в крипто активи са били откраднати чрез мостови експлойти досега през 2022 г., според доклад на фирмата за крипто съответствие Elliptic.
През април блокчейн мост, наречен Ronin, беше експлоатиран в a 600 милиона долара крипто кражба, което американски служители оттогава приписват на севернокорейската държава. Няколко месеца по-късно Harmony, друг мост, беше източен със 100 милиона долара при подобна атака.
Подобно на Ronin и Harmony, Nomad беше насочен чрез пропуск в кода си - но имаше няколко разлики. С тези атаки хакерите успяха да извлекат частните ключове, необходими за постигане на контрол над мрежата и да започнат да изнасят токени. В случая на Nomad беше много по-просто от това. Рутинна актуализация на моста позволи на потребителите да фалшифицират транзакции и да излязат с крипто на стойност милиони.
Източник: https://www.cnbc.com/2022/08/02/hackers-drain-nearly-200-million-from-crypto-startup-nomad.html