- Incident s Nomadom treći je najveći hak u kriptovaluti ove godine, iza Wormholea i Ronina
- Oko 41 adresa crpila je kriptovalutu iz protokola
Token bridge Nomad pretrpio je "bjesomučno besplatno za sve" nakon što su napadači upali u protokol za više od 190 milijuna dolara u kriptovaluti.
Nomad, koji se reklamirao kao "sigurnost na prvom mjestu" platforma za slanje ERC-20 tokena između kompatibilnih blockchaina, potvrdio je raciju u tvitu u utorak ujutro.
Incident se razlikuje od ostalih velikih hakiranja za onesposobljavanje tokenskih mostova ove godine. Mostovi tokena omogućuju kripto korisnicima prijenos digitalnih sredstava preko mreža tako da ih prvo zaključaju unutar pametnog ugovora.
Most zatim izdaje izvedeni token, "zamotanu imovinu", s druge strane, s njihovim vrijednostima potkrijepljenim izvornim depozitima. Nomad podržava Ethereum, Avalanche, Evmos i Moonbeam.
Hakiranje Wormholea u veljači vidjelo je kako napadači iskorištavaju pogrešan kod pametnog ugovora kako bi iskovali 320 milijuna dolara u Wrapped Ether bez postavljanja potrebnog kolaterala.
Napad na most Axie Infinite Ronin, otkriven u ožujku, uključivao je višemjesečnu kampanju krađe identiteta za stjecanje privatnih ključeva povezanih s njegovim multisig novčanikom, što je rezultiralo ukradenim kriptovalutama od oko 625 milijuna dolara (oba incidenta procijenjena su u vrijeme napada).
Ali Sam Sun, voditelj sigurnosti u investicijskoj tvrtki za digitalnu imovinu Paradigm, objasnio je na Twitteru da Nomadovi lopovi nisu trebali znati ništa o Ethereum programskom jeziku Solidity da bi pobjegli s korisničkim kolateralom.
Haker Rari Capital vratio se u napad na Nomad
Nomadovi programeri slučajno su gurnuli rutinsku nadogradnju koja je rekla protokolu da obradi bilo koju transakciju sa zadanim korijenskim hashom "0x00", gdje obično blockchain mreže zahtijevaju jedinstveni i specifični root kao dokaz da je transakcija važeća.
To je značilo da će Nomad učinkovito odobriti svaku transakciju podnesenu protokolu. Nakon što je napadač shvatio i pokrenuo velike nedopuštene prijenose, drugi su korisnici jednostavno kopirali svoju transakcijsku skriptu i zamijenili adresu primatelja vlastitom, objasnio je Victor Young, glavni arhitekt u interoperabilnoj mreži Analog.
Youngu je ključna prednost platformi za pametne ugovore, poput onih koje pokreću Nomad, to što su to Turingovi potpuni sustavi. Oni mogu izračunati "gotovo sve što moderno digitalno računalo može učiniti s matematičkog stajališta", rekao je Young.
"Nažalost, ovo uvodi bezbrojne i nepoznate vektore napada koji otvaraju pametni ugovor hakiranju", rekao je Young za Blockworks. "Kada to kombinirate s mlitavim programerima koji ne uspijevaju implementirati robustan skup mehanizama testiranja, dobit ćete smiješan krah kojem trenutno svjedočimo."
Izvor: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/