- Инцидентът с Nomad е третото най-голямо хакване на криптовалута за годината след Wormhole и Ronin
- Около 41 адреса източват криптовалута от протокола
Token bridge Nomad претърпя „неистов безплатен достъп до всички“, след като нападатели нахлуха в протокола за над 190 милиона долара в криптовалута.
Nomad, който се рекламира като платформа „на първо място със сигурността“ за изпращане на ERC-20 токени между съвместими блокчейни, потвърди нападението в туит във вторник сутринта.
Инцидентът се различава от други мащабни хакове за осакатяване на токен мостове тази година. Токен мостовете позволяват на потребителите на крипто да пренасят цифрови активи през мрежи, като първо ги заключват в интелигентен договор.
След това мостът издава деривативен токен, „опакован актив“, от другата страна, с техните стойности, обезпечени с първоначалните им депозити. Nomad поддържа Ethereum, Avalanche, Evmos и Moonbeam.
Февруарският хак на Wormhole видя, че нападателите експлоатират бъгав код на интелигентен договор, за да изсекат 320 милиона долара в Wrapped Ether, без да публикуват необходимото обезпечение.
Мостовата атака на Axie Infinite Ronin, разкрита през март, включваше продължила месеци фишинг кампания за придобиване на частни ключове, свързани с портфейла му с няколко подписа, което доведе до откраднати криптовалути на стойност около 625 милиона долара (и двата инцидента бяха оценени към момента на атаката).
Но Сам Сън, ръководител на отдела за сигурност във фирмата за инвестиции в дигитални активи Paradigm, обясни в нишка в Twitter, че крадците на Nomad не е трябвало да знаят нищо за програмния език на Ethereum Solidity, за да се измъкнат от потребителско обезпечение.
Хакерът на Rari Capital се върна, за да нападне Nomad
Разработчиците на Nomad случайно бяха прокарали рутинна надстройка, която каза на протокола да обработва всяка транзакция с основния хеш по подразбиране „0x00“, където обикновено блокчейн мрежите изискват уникален и специфичен корен като доказателство, че транзакцията е валидна.
Това означаваше, че Nomad ефективно ще одобри всяка транзакция, подадена към протокола. След като нападател осъзнае и инициира големи незаконни трансфери, други потребители просто копират-поставят своя скрипт за транзакция и заменят адреса на получателя със свой собствен, обясни Виктор Йънг, главен архитект в мрежата за оперативна съвместимост Analog.
За Йънг, ключово предимство на платформите за интелигентни договори, като тези, захранващи Nomad, е, че те са системи, пълни с Turing. Те могат да изчислят „почти всичко, което един модерен цифров компютър може да направи от математическа гледна точка“, каза Йънг.
„За съжаление, това въвежда безброй и неизвестни вектори на атака, които отварят интелигентния договор за хакове“, каза Йънг пред Blockworks. „Когато комбинирате това с небрежни разработчици, които не успяват да внедрят стабилен набор от механизми за тестване, получавате нелепия срив, на който сме свидетели в момента.“
Young предписа тестове от край до край на други блокчейн платформи и повтарящи се одити на кода, за да помогне за намаляване на риска това да се случи другаде.
Фирма за сигурност на блокчейн PeckShield съобщи около 41 адреса бяха нахлули в Nomad, смес от Wrapped Bitcoin и Wrapped Ether заедно със стабилни монети DAI и USDC.
По-специално същият адрес, свързан с Rari Capital хамалски в края на април се твърди, че е откраднал 3.4 милиона долара в криптовалута. По-малко от $12,000 190 остават в интелигентните договори на Nomad, спад от над $XNUMX милиона преди нападението, на Дефи Лама.
Инцидентът с Nomad вече е третият най-голям хак за годината след Wormhole и Ronin. Не е ясно какво предстои за фирмата.
Както екипите на Wormhole, така и на Axie Infinite набраха рисков капитал в опит да направят своите потребители и протоколи цели след съответните им хакове. Blockworks се свърза с Nomad, за да научи повече за техните планове.
Получавайте най-важните крипто новини и прозрения за деня във входящата си поща всяка вечер. Абонирайте се за безплатния бюлетин на Blockworks сега.
Източник: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/