- Incident s Nomadom treći je najveći hak u kriptovaluti ove godine, iza Wormholea i Ronina
- Oko 41 adresa crpila je kriptovalutu iz protokola
Token bridge Nomad pretrpio je "bjesomučno besplatno za sve" nakon što su napadači upali u protokol za više od 190 milijuna dolara u kriptovaluti.
Nomad, koji se reklamirao kao "sigurnost na prvom mjestu" platforma za slanje ERC-20 tokena između kompatibilnih blockchaina, potvrdio je raciju u tvitu u utorak ujutro.
Incident se razlikuje od ostalih velikih hakiranja za onesposobljavanje tokenskih mostova ove godine. Mostovi tokena omogućuju kripto korisnicima prijenos digitalnih sredstava preko mreža tako da ih prvo zaključaju unutar pametnog ugovora.
Most zatim izdaje izvedeni token, "zamotanu imovinu", s druge strane, s njihovim vrijednostima potkrijepljenim izvornim depozitima. Nomad podržava Ethereum, Avalanche, Evmos i Moonbeam.
Hakiranje Wormholea u veljači vidjelo je kako napadači iskorištavaju pogrešan kod pametnog ugovora kako bi iskovali 320 milijuna dolara u Wrapped Ether bez postavljanja potrebnog kolaterala.
Napad na most Axie Infinite Ronin, otkriven u ožujku, uključivao je višemjesečnu kampanju krađe identiteta za stjecanje privatnih ključeva povezanih s njegovim multisig novčanikom, što je rezultiralo ukradenim kriptovalutama od oko 625 milijuna dolara (oba incidenta procijenjena su u vrijeme napada).
Ali Sam Sun, voditelj sigurnosti u investicijskoj tvrtki za digitalnu imovinu Paradigm, objasnio je na Twitteru da Nomadovi lopovi nisu trebali znati ništa o Ethereum programskom jeziku Solidity da bi pobjegli s korisničkim kolateralom.
Haker Rari Capital vratio se u napad na Nomad
Nomadovi programeri slučajno su gurnuli rutinsku nadogradnju koja je rekla protokolu da obradi bilo koju transakciju sa zadanim korijenskim hashom "0x00", gdje obično blockchain mreže zahtijevaju jedinstveni i specifični root kao dokaz da je transakcija važeća.
To je značilo da će Nomad učinkovito odobriti svaku transakciju podnesenu protokolu. Nakon što je napadač shvatio i pokrenuo velike nedopuštene prijenose, drugi su korisnici jednostavno kopirali svoju transakcijsku skriptu i zamijenili adresu primatelja vlastitom, objasnio je Victor Young, glavni arhitekt u interoperabilnoj mreži Analog.
Youngu je ključna prednost platformi za pametne ugovore, poput onih koje pokreću Nomad, to što su to Turingovi potpuni sustavi. Oni mogu izračunati "gotovo sve što moderno digitalno računalo može učiniti s matematičkog stajališta", rekao je Young.
"Nažalost, ovo uvodi bezbrojne i nepoznate vektore napada koji otvaraju pametni ugovor hakiranju", rekao je Young za Blockworks. "Kada to kombinirate s mlitavim programerima koji ne uspijevaju implementirati robustan skup mehanizama testiranja, dobit ćete smiješan krah kojem trenutno svjedočimo."
Young je propisao end-to-end testove drugih blockchain platformi i ponavljane revizije koda kako bi se smanjio rizik da se to dogodi negdje drugdje.
Sigurnosna tvrtka za blockchain PeckShield izvijestio oko 41 adresa izvršila je napad na Nomad, mješavinu Wrapped Bitcoina i Wrapped Ethera uz stabilne kovanice DAI i USDC.
Naime, ista adresa povezana je s prijestolnicom Rari pijuk krajem travnja navodno je ukrao 3.4 milijuna dolara u kriptovaluti. Manje od 12,000 dolara preostalo je u Nomadovim pametnim ugovorima, u odnosu na više od 190 milijuna dolara prije napada, po DeFi lama.
Incident s Nomadom sada je treći najveći hak ove godine, iza Wormholea i Ronina. Nejasno je što je sljedeće za tvrtku.
I timovi Wormholea i Axie Infinitea prikupili su rizični kapital u pokušaju da osposobe svoje korisnike i protokole nakon njihovih hakiranja. Blockworks je kontaktirao Nomad kako bi saznao više o njihovim planovima.
Svake večeri primajte najvažnije dnevne kripto vijesti i uvide u svoju pristiglu poštu. Pretplatite se na Blockworksov besplatni bilten sada.
Izvor: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/