- Інцидент з Nomad став третім за величиною хакерством криптовалюти року після Wormhole і Ronin
- Близько 41 адреси викачували криптовалюту з протоколу
Token bridge Nomad постраждав від «скаженої безкоштовності для всіх» після того, як зловмисники вторглись у протокол, щоб отримати понад 190 мільйонів доларів у криптовалюті.
Nomad, яка рекламувала себе як платформу «перш за все безпека» для надсилання токенів ERC-20 між сумісними блокчейнами, підтвердила рейд у ранковому твіті у вівторок.
Цей інцидент відрізняється від інших масштабних хакерських атак, спрямованих на пошкодження мостів токенів цього року. Мости токенів дозволяють користувачам криптовалюти переносити цифрові активи через мережі, попередньо заблокувавши їх у смарт-контракті.
Потім міст випускає похідний токен, «загорнутий актив», з іншого боку, вартість якого забезпечена початковими депозитами. Nomad підтримує Ethereum, Avalanche, Evmos і Moonbeam.
У лютневому зломі Wormhole зловмисники використовували помилковий код смарт-контракту, щоб викарбувати собі 320 мільйонів доларів у Wrapped Ether без розміщення необхідної застави.
Атака на міст Axie Infinite Ronin, розкрита в березні, включала багатомісячну фішингову кампанію для отримання приватних ключів, пов’язаних із його гаманцем із підтримкою кількох підписів, що призвело до викрадення криптовалюти на суму близько 625 мільйонів доларів (обидва інциденти були оцінені на момент атаки).
Але Сем Сан, керівник відділу безпеки інвестиційної компанії Paradigm у цифрові активи, пояснив у твіттері, що злодіям Nomad не потрібно було нічого знати про мову програмування Ethereum Solidity, щоб отримати заставу користувачів.
Хакер Rari Capital повернувся до рейду на Nomad
Розробники Nomad випадково запустили регулярне оновлення, яке вказувало протоколу обробляти будь-яку транзакцію з кореневим хешем за замовчуванням «0x00», де зазвичай блокчейн-мережі вимагають унікальний і конкретний корень як доказ того, що транзакція дійсна.
Це означало, що Nomad фактично схвалюватиме будь-які транзакції, подані до протоколу. Після того, як зловмисник усвідомив і ініціював великі незаконні перекази, інші користувачі просто скопіювали свій сценарій транзакції та замінили адресу одержувача своєю власною, пояснив Віктор Янг, головний архітектор мережі взаємодії Analog.
На думку Янга, ключовою перевагою платформ смарт-контрактів, подібних до тих, що працюють у Nomad, є те, що вони є системами, повними Тьюрінга. Вони можуть обчислювати «практично все, що може зробити сучасний цифровий комп’ютер з математичної точки зору», – сказав Янг.
«На жаль, це створює незліченну кількість невідомих векторів атак, які відкривають смарт-контракт для злому», — сказав Янг Blockworks. «Якщо ви поєднуєте це з слабкими розробниками, які не спроможні реалізувати надійний набір механізмів тестування, ви отримаєте безглуздий крах, свідками якого ми зараз є».
Янг призначив інші блокчейн-платформи наскрізні тести та повторні перевірки коду, щоб зменшити ризик того, що це станеться деінде.
Фірма безпеки блокчейнів PeckShield повідомляє близько 41 адреси здійснили рейд на Nomad, суміш Wrapped Bitcoin і Wrapped Ether разом зі стабільними монетами DAI і USDC.
Примітно, що ця ж адреса пов'язана з Rari Capital зламати наприкінці квітня він викрав 3.4 мільйона доларів у криптовалюті. У смарт-контрактах Nomad залишилося менше 12,000 190 доларів, порівняно з XNUMX мільйонами доларів до рейду. Дефі Лама.
Інцидент з Nomad став третім за величиною хакерським хакерством року після Wormhole і Ronin. Незрозуміло, що чекає фірму далі.
І команди Wormhole, і Axie Infinite залучили венчурний капітал, щоб зробити своїх користувачів і протоколи цілими після своїх відповідних хаків. Blockworks звернулися до Nomad, щоб дізнатися більше про їхні плани.
Щовечора на вашу скриньку вхідних повідомлень надходять найпопулярніші крипто-новини та ідеї. Підпишіться на безкоштовну розсилку Blockworks зараз.
Джерело: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/