Az elmúlt hónapokban dollármilliárdokat töröltek ki a kriptovaluta piacáról. Az iparág vállalatai érzik a fájdalmat. A hitelező és kereskedő cégek likviditási válsággal néznek szembe, és sok cég elbocsátásokat jelentett be.
Yu Chun Christopher Wong | S3studio | Getty Images
A hackerek csaknem 200 millió dollárnyi kriptovalutát vontak ki a Nomadtól, egy olyan eszköztől, amellyel a felhasználók tokeneket cserélhetnek egyik blokkláncról a másikra, egy újabb támadás során, amely rávilágít a decentralizált pénzügyi tér gyengeségeire.
Nomad hétfőn későn egy tweetben ismerte el a visszaélést.
„Tisztában vagyunk a Nomád token híddal kapcsolatos incidensről” – mondta a startup. "Jelenleg a vizsgálatot folytatjuk, és amint megtudjuk, közöljük a frissítésekkel."
Nem teljesen világos, hogyan szervezték meg a támadást, vagy a Nomad tervezi-e a támadás során tokeneket elvesztő felhasználók megtérítését. A magát „biztonságos, láncokon átívelő üzenetküldő” szolgáltatásként hirdető cég nem volt azonnal elérhető megjegyzésekre, amikor a CNBC megkereste.
A blokklánc biztonsági szakértői „mindenki számára ingyenes”-nek minősítették a kihasználást. Bárki, aki ismeri a kizsákmányolást és annak működését, megragadhatja a hibát, és felvehetett egy mennyiségű tokent a Nomadtól – olyan, mint egy pénzkiadó automata, amely egy gombnyomásra pénzt lövell ki.
A Nomad kódjának frissítésével kezdődött. A kód egy részét érvényesnek jelölték meg, amikor a felhasználók úgy döntöttek, hogy átutalást kezdeményeznek, ami lehetővé tette a tolvajok számára, hogy több eszközt vegyenek ki, mint amennyit a platformon elhelyeztek. Miután a többi támadó rájött, hogy mi történik, botok seregét telepítették be, hogy másoló támadásokat hajtsanak végre.
"Előzetes programozási tapasztalat nélkül bármely felhasználó egyszerűen lemásolhatja az eredeti támadó tranzakciós hívási adatait, és a címet a sajátjával helyettesítheti, hogy kihasználja a protokollt" - mondta Victor Young, az Analog crypto startup alapítója és főépítésze.
"A korábbi támadásokkal ellentétben a Nomad hack mindenki számára ingyenessé vált, ahol több felhasználó elkezdte lemeríteni a hálózatot azáltal, hogy egyszerűen visszajátszotta az eredeti támadók tranzakciós hívási adatait."
Sam Sun, a Paradigm kriptográfiai befektetési cég kutatópartnere, leírt a kihasználás „az egyik legkaotikusabb hack, amit a Web3 valaha látott” – a Web3 a blokklánc technológia köré épülő internet hipotetikus jövőbeli iterációja.
A Nomad az úgynevezett „híd”, egy olyan eszköz, amely lehetővé teszi a felhasználók számára, hogy tokeneket és információkat cseréljenek a különböző kriptográfiai hálózatok között. Alternatívaként használják a tranzakciókat közvetlenül egy blokkláncon, például Ethereum, amely magas feldolgozási díjat számíthat fel a felhasználóknak, ha sok tevékenység történik egyszerre.
A sérülékenységek és a rossz tervezés miatt a hidak elsődleges célponttá váltak a hackerek számára, akik milliókat akarnak kicsalni a befektetőkből. Az Elliptic kriptográfiai megfelelőségi cég jelentése szerint 1-ben eddig több mint egymilliárd dollár értékű kriptovagyont loptak el hídhasználattal.
Áprilisban a Ronin nevű blokklánc hidat kihasználták a 600 millió dolláros kriptorablás, amelyet az amerikai tisztviselők azóta az észak-koreai államnak tulajdonítottak. Néhány hónappal később egy másik híd, a Harmony 100 millió dollárt ürítettek el egy hasonló támadás során.
A Roninhoz és a Harmonyhoz hasonlóan a Nomadot is a kódja hibája célozta meg – de volt néhány különbség. Ezekkel a támadásokkal a hackerek le tudták szerezni a hálózat feletti irányítás megszerzéséhez szükséges privát kulcsokat, és megkezdhették a tokenek kihelyezését. Nomad esetében ez sokkal egyszerűbb volt. A híd rutinfrissítése lehetővé tette a felhasználók számára, hogy tranzakciókat hamisítsanak, és több millió értékű kriptopénzt szerezzenek be.
Forrás: https://www.cnbc.com/2022/08/02/hackers-drain-nearly-200-million-from-crypto-startup-nomad.html