- Incident Nomad je třetím největším hackem kryptoměny roku, za Wormhole a Roninem
- Z protokolu odebralo kryptoměnu asi 41 adres
Token bridge Nomad utrpěl „zběsilé free-for-all“ poté, co útočníci přepadli protokol za více než 190 milionů dolarů v kryptoměně.
Společnost Nomad, která se prodávala jako „bezpečnostní první“ platforma pro zasílání tokenů ERC-20 mezi kompatibilními blockchainy, potvrdila nájezd v úterním ranním tweetu.
Incident se letos liší od jiných rozsáhlých hacků, které měly ochromit mosty. Tokenové mosty umožňují uživatelům kryptoměn přenášet digitální aktiva přes sítě tak, že je nejprve uzamknou v rámci chytré smlouvy.
Most pak na druhé straně vydá derivátový token, „zabalené aktivum“, jehož hodnoty jsou kryty jejich původními vklady. Nomad podporuje Ethereum, Avalanche, Evmos a Moonbeam.
Únorový hack na Wormhole viděl útočníky zneužít chybný kód inteligentní smlouvy, aby si vytěžili 320 milionů dolarů v zabaleném éteru, aniž by složili požadované zajištění.
Útok na most Axie Infinite Ronin, odhalený v březnu, zahrnoval měsíce trvající phishingovou kampaň za účelem získání soukromých klíčů spojených s její multisig peněženkou, která vyústila v ukradení kryptoměn v hodnotě přibližně 625 milionů dolarů (oba incidenty byly oceněny v době útoku).
Sam Sun, šéf bezpečnosti ve společnosti Paradigm, která investuje do digitálních aktiv, ale ve vláknu na Twitteru vysvětlil, že zloději Nomad nepotřebují vědět nic o programovacím jazyce Ethereum Solidity, aby mohli využít zajištění uživatelů.
Hacker Rari Capital se vrátil k nájezdu na Nomada
Vývojáři Nomad omylem provedli rutinní upgrade, který protokolu řekl, aby zpracoval jakoukoli transakci s výchozím kořenovým hashem „0x00“, kde obvykle blockchainové sítě vyžadují jedinečný a specifický kořen jako důkaz, že transakce je platná.
To znamenalo, že Nomad fakticky schválí jakoukoli transakci předloženou protokolu. Poté, co si útočník uvědomil a zahájil velké nezákonné převody, ostatní uživatelé jednoduše zkopírovali a vložili svůj transakční skript a nahradili adresu příjemce svou vlastní, vysvětlil Victor Young, hlavní architekt v interoperabilní síti Analog.
Pro Younga je klíčovou výhodou platforem pro chytré smlouvy, jako jsou ty, které pohánějí Nomad, to, že se jedná o Turingovy kompletní systémy. Dokážou vypočítat „prakticky vše, co moderní digitální počítač dokáže z matematického hlediska,“ řekl Young.
"Bohužel to představuje nespočet a neznámých vektorů útoků, které otevírají inteligentní kontrakt hackům," řekl Young Blockworks. "Když to zkombinujete s laxními vývojáři, kteří neimplementují robustní sadu testovacích mechanismů, dostanete směšné zhroucení, kterého jsme v současnosti svědky."
Zdroj: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/