- Incident Nomada treći je najveći hak kriptovalute godine, iza Wormhole i Ronin
- Oko 41 adresa je izvukla kriptovalutu iz protokola
Token bridge Nomad je pretrpio "pomahnitalo besplatno za sve" nakon što su napadači upali na protokol za više od 190 miliona dolara u kriptovaluti.
Nomad, koji se plasirao kao platforma koja je "prva sigurnost" za slanje ERC-20 tokena između kompatibilnih blockchaina, potvrdio je raciju u tvitu u utorak ujutro.
Incident se razlikuje od drugih velikih hakova za osakaćenje token mostova ove godine. Mostovi tokena omogućavaju korisnicima kriptovaluta da prenose digitalna sredstva preko mreža tako što ih prvo zaključaju unutar pametnog ugovora.
Most tada izdaje derivativni token, "upakovanu imovinu", s druge strane, sa njihovim vrijednostima podržanim njihovim originalnim depozitima. Nomad podržava Ethereum, Avalanche, Evmos i Moonbeam.
Februarski hak na Wormhole vidio je da su napadači iskoristili grešku kod pametnog ugovora kako bi sebi iskovali 320 miliona dolara u Wrapped Etheru bez postavljanja potrebnog kolaterala.
Napad na most Axie Infinite Ronin, otkriven u martu, uključivao je višemjesečnu phishing kampanju za sticanje privatnih ključeva povezanih s njegovim novčanikom s više potpisa, što je rezultiralo ukradenom kriptovalute od oko 625 miliona dolara (oba incidenta procijenjena u vrijeme napada).
Ali Sem Sun, šef sigurnosti u kompaniji Paradigm za investiranje u digitalnu imovinu, objasnio je u tviter temi da Nomadovi lopovi ne moraju ništa da znaju o Ethereum programskom jeziku Solidity da bi se izborili sa kolateralom korisnika.
Haker Rari Capitala vratio se u napad na Nomad
Nomadovi programeri su slučajno pokrenuli rutinsku nadogradnju koja je rekla protokolu da obrađuje bilo koju transakciju sa zadanim korijenskim hešom „0x00“, gdje obično blockchain mreže zahtijevaju jedinstven i specifičan root kao dokaz da je transakcija važeća.
To je značilo da će Nomad efektivno odobriti svaku transakciju podnesenu protokolu. Nakon što je napadač shvatio i pokrenuo velike nedozvoljene transfere, drugi korisnici su jednostavno kopirali svoju transakcijsku skriptu i zamijenili adresu primaoca svojom, objasnio je Victor Young, glavni arhitekta Interoperabilne mreže Analog.
Za Younga, ključna prednost platformi pametnih ugovora, poput onih koje napajaju Nomad, je to što su sistemi potpuni po Turingu. Oni mogu da izračunaju „praktično sve što moderni digitalni računar može da uradi sa matematičke tačke gledišta“, rekao je Young.
"Nažalost, ovo uvodi bezbroj i nepoznate vektore napada koji otvaraju pametni ugovor za hakove", rekao je Young za Blockworks. “Kada ovo kombinirate sa opuštenim programerima koji ne uspijevaju implementirati robustan skup mehanizama testiranja, dobićete smiješan krah kojem smo trenutno svjedoci.”
Young je propisao druge blockchain platforme end-to-end testove i ponovljene revizije koda kako bi pomogao u smanjenju rizika da se to dogodi negdje drugdje.
Blockchain sigurnosna firma PeckShield prijavljeno oko 41 adresa je izvršila prepad na Nomad, mješavinu omotanog Bitcoina i Wrapped Ethera uz stabilne coins DAI i USDC.
Posebno, ista adresa povezana sa Rari Capitalom piskaralo krajem aprila je rečeno da je ukrao 3.4 miliona dolara u kriptovaluti. Manje od 12,000 dolara ostaje u Nomadovim pametnim ugovorima, što je manje od više od 190 miliona dolara prije napada, po DeFi Llama.
Nomad incident je sada treći najveći hak u godini, iza Wormholea i Ronina. Nejasno je šta je sledeće za firmu.
I timovi Wormhole i Axie Infinite prikupili su rizični kapital u pokušaju da upotpune i svoje korisnike i protokole prateći svoje hakove. Blockworks je kontaktirao Nomad kako bi saznao više o njihovim planovima.
Svake večeri primajte dnevne vijesti i uvide iz kriptovalute u vaš inbox. Pretplatite se na Blockworksov besplatni newsletter sada.
Izvor: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/