- Incident Nomad je třetím největším hackem kryptoměny roku, za Wormhole a Roninem
- Z protokolu odebralo kryptoměnu asi 41 adres
Token bridge Nomad utrpěl „zběsilé free-for-all“ poté, co útočníci přepadli protokol za více než 190 milionů dolarů v kryptoměně.
Společnost Nomad, která se prodávala jako „bezpečnostní první“ platforma pro zasílání tokenů ERC-20 mezi kompatibilními blockchainy, potvrdila nájezd v úterním ranním tweetu.
Incident se letos liší od jiných rozsáhlých hacků, které měly ochromit mosty. Tokenové mosty umožňují uživatelům kryptoměn přenášet digitální aktiva přes sítě tak, že je nejprve uzamknou v rámci chytré smlouvy.
Most pak na druhé straně vydá derivátový token, „zabalené aktivum“, jehož hodnoty jsou kryty jejich původními vklady. Nomad podporuje Ethereum, Avalanche, Evmos a Moonbeam.
Únorový hack na Wormhole viděl útočníky zneužít chybný kód inteligentní smlouvy, aby si vytěžili 320 milionů dolarů v zabaleném éteru, aniž by složili požadované zajištění.
Útok na most Axie Infinite Ronin, odhalený v březnu, zahrnoval měsíce trvající phishingovou kampaň za účelem získání soukromých klíčů spojených s její multisig peněženkou, která vyústila v ukradení kryptoměn v hodnotě přibližně 625 milionů dolarů (oba incidenty byly oceněny v době útoku).
Sam Sun, šéf bezpečnosti ve společnosti Paradigm, která investuje do digitálních aktiv, ale ve vláknu na Twitteru vysvětlil, že zloději Nomad nepotřebují vědět nic o programovacím jazyce Ethereum Solidity, aby mohli využít zajištění uživatelů.
Hacker Rari Capital se vrátil k nájezdu na Nomada
Vývojáři Nomad omylem provedli rutinní upgrade, který protokolu řekl, aby zpracoval jakoukoli transakci s výchozím kořenovým hashem „0x00“, kde obvykle blockchainové sítě vyžadují jedinečný a specifický kořen jako důkaz, že transakce je platná.
To znamenalo, že Nomad fakticky schválí jakoukoli transakci předloženou protokolu. Poté, co si útočník uvědomil a zahájil velké nezákonné převody, ostatní uživatelé jednoduše zkopírovali a vložili svůj transakční skript a nahradili adresu příjemce svou vlastní, vysvětlil Victor Young, hlavní architekt v interoperabilní síti Analog.
Pro Younga je klíčovou výhodou platforem pro chytré smlouvy, jako jsou ty, které pohánějí Nomad, to, že se jedná o Turingovy kompletní systémy. Dokážou vypočítat „prakticky vše, co moderní digitální počítač dokáže z matematického hlediska,“ řekl Young.
"Bohužel to představuje nespočet a neznámých vektorů útoků, které otevírají inteligentní kontrakt hackům," řekl Young Blockworks. "Když to zkombinujete s laxními vývojáři, kteří neimplementují robustní sadu testovacích mechanismů, dostanete směšné zhroucení, kterého jsme v současnosti svědky."
Young předepsal dalším blockchainovým platformám end-to-end testy a opakované audity kódu, aby pomohl zmírnit riziko, že se to stane jinde.
Blockchain bezpečnostní firma PeckShield hlášeny asi 41 adres přepadlo Nomad, směs Wrapped Bitcoin a Wrapped Ether spolu se stablecoiny DAI a USDC.
Pozoruhodně stejná adresa spojená s hlavním městem Rari hack na konci dubna údajně ukradl 3.4 milionu dolarů v kryptoměně. V chytrých kontraktech Nomad zbývá méně než 12,000 190 USD, což je pokles z více než XNUMX milionů USD před nájezdem. DeFi Lama.
Incident Nomad je nyní třetím největším hackem roku, za Červí dírou a Roninem. Co bude s firmou dál, není jasné.
Oba týmy Wormhole a Axie Infinite získaly rizikový kapitál ve snaze učinit jejich uživatele i protokoly celistvými po jejich příslušných hackech. Blockworks oslovil Nomad, aby se dozvěděl více o jejich plánech.
Nechte si každý večer zasílat do vaší e-mailové schránky nejlepší denní kryptografické zprávy a statistiky. Přihlaste se k bezplatnému newsletteru Blockworks nyní.
Zdroj: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/