Останніми місяцями з криптовалютного ринку було стерто кошти на мільярди доларів. Компанії в галузі відчувають біль. Кредитні та торгові фірми зіткнулися з кризою ліквідності, і багато компаній оголосили про звільнення.
Ю Чун Крістофер Вонг | S3studio | Getty Images
Хакери витягли майже 200 мільйонів доларів у криптовалюті з Nomad, інструменту, який дозволяє користувачам обмінювати токени з одного блокчейну на інший, під час чергової атаки, яка підкреслює слабкі сторони децентралізованого фінансового простору.
Nomad визнав експлойт у твіті ввечері в понеділок.
«Ми знаємо про інцидент, пов’язаний з мостом токенів Nomad», — повідомили в стартапі. «Наразі ми проводимо розслідування та надамо оновлення, коли їх отримаємо».
Не зовсім зрозуміло, як була організована атака, чи планує Nomad відшкодувати користувачам, які втратили токени під час атаки. Компанія, яка рекламує себе як сервіс «безпечного міжланцюжкового обміну повідомленнями», не була доступна для коментарів, коли зв’язалася з CNBC.
Експерти з безпеки блокчейну описали експлойт як «безкоштовний для всіх». Будь-хто, хто знає про експлойт і як він працює, може скористатися недоліком і зняти певну кількість токенів з Nomad — щось на зразок банкомата, який викидає гроші одним натисканням кнопки.
Все почалося з оновлення коду Nomad. Одну частину коду позначали як дійсну щоразу, коли користувачі вирішували ініціювати переказ, що дозволяло злодіям вилучати більше активів, ніж було внесено на платформу. Щойно інші зловмисники помітили, що відбувається, вони розгорнули армії ботів для здійснення імітаційних атак.
«Без попереднього досвіду програмування будь-який користувач міг би просто скопіювати вихідні дані виклику транзакцій зловмисників і замінити адресу своєю адресою, щоб використовувати протокол», — сказав Віктор Янг, засновник і головний архітектор криптостартапу Analog.
«На відміну від попередніх атак, злом Nomad став безкоштовним для всіх, де кілька користувачів почали виснажувати мережу, просто відтворюючи вихідні дані транзакцій зловмисників».
Сем Сан, дослідницький партнер інвестиційної компанії Paradigm, орієнтованої на криптовалюту, описаний експлойт як «один із найбільш хаотичних зломів, які коли-небудь бачив Web3» — Web3 є гіпотетичною майбутньою ітерацією Інтернету, побудованого на технології блокчейн.
Nomad — це те, що називають «містом», інструментом, який дозволяє користувачам обмінюватися токенами та інформацією між різними криптомережами. Вони використовуються як альтернатива здійсненню транзакцій безпосередньо в блокчейні Ethereum, яка може стягувати з користувачів високу плату за обробку, коли одночасно виконується багато дій.
Випадки вразливості та поганого дизайну зробили мости головною мішенню для хакерів, які прагнуть обдурити мільйони інвесторів. Згідно зі звітом компанії Elliptic, яка займається дотриманням крипто-комплаєнсів, у 1 році через бридж-експлойт було вкрадено криптовалютні активи на суму понад 2022 мільярд доларів.
У квітні блокчейн-міст під назвою Ronin був використаний у a Крадіжка криптовалют на 600 мільйонів доларів, яку офіційні особи США з тих пір приписують північнокорейській державі. Кілька місяців по тому інший міст Harmony був вичерпаний на 100 мільйонів доларів у подібній атаці.
Як і Ronin і Harmony, Nomad став мішенню через недолік у своєму коді — але було кілька відмінностей. За допомогою цих атак хакери змогли отримати закриті ключі, необхідні для контролю над мережею, і почати переміщення токенів. У випадку Nomad все було набагато простіше. Звичайне оновлення мосту дозволило користувачам підробляти транзакції та використовувати криптовалюту на мільйони.
Джерело: https://www.cnbc.com/2022/08/02/hackers-drain-nearly-200-million-from-crypto-startup-nomad.html