- A Nomad incidens az év harmadik legnagyobb kriptovaluta hackje Wormhole és Ronin mögött
- Körülbelül 41 cím szippantott kriptovalutát a protokollból
A Token bridge Nomad „mindenkinek őrületes ingyen” áldozata lett, miután a támadók több mint 190 millió dolláros kriptovalutáért portyáztak a protokollon.
A Nomad, amely „első biztonsági platformként” hirdette magát az ERC-20 tokenek kompatibilis blokkláncok közötti küldésére, megerősítette a rajtaütést egy kedd reggeli tweetben.
Az incidens különbözik a többi nagyszabású feltöréstől, amely idén megbénítja a tokenhidakat. A token hidak lehetővé teszik a kriptográfiai felhasználók számára, hogy digitális eszközöket hordozzanak a hálózaton keresztül úgy, hogy először zárolják őket egy intelligens szerződésen belül.
A híd ezután egy származtatott tokent, egy „becsomagolt eszközt” bocsát ki a másik oldalon, amelynek értékeit eredeti letétjeik fedezik. A Nomad támogatja az Ethereumot, az Avalanche-t, az Evmos-t és a Moonbeam-et.
A februári féreglyuk feltörése azt tapasztalta, hogy a támadók a bugos intelligens szerződéskódot kihasználva 320 millió dollárt vertek be Wrapped Etherbe anélkül, hogy a szükséges biztosítékot közzétették volna.
A márciusban nyilvánosságra hozott Axie Infinite Ronin hídtámadás hónapokig tartó adathalász kampányt tartalmazott a multisig pénztárcájához kapcsolódó privát kulcsok megszerzésére, aminek eredményeként körülbelül 625 millió dollár értékű titkosítást loptak el (mindkét incidens a támadás időpontjában értendő).
Sam Sun, a Paradigm digitális eszközbefektetési cég biztonsági vezetője azonban egy Twitter-szálban kifejtette, hogy a Nomad tolvajainak nem kellett semmit tudniuk a Solidity Ethereum programozási nyelvről ahhoz, hogy a felhasználói biztosítékkal kibírják.
A Rari Capital hacker visszatért a Nomad támadására
A Nomad fejlesztői véletlenül egy rutin frissítést hajtottak végre, amely azt mondta a protokollnak, hogy minden tranzakciót feldolgozzon az alapértelmezett „0x00” gyökérkivonattal, ahol általában a blokklánc-hálózatok egyedi és specifikus gyökérkönyvtárat igényelnek a tranzakció érvényességének bizonyítékaként.
Ez azt jelentette, hogy a Nomad hatékonyan jóváhagy minden, a protokollhoz benyújtott tranzakciót. Miután egy támadó rájött és nagy illegális átvitelt kezdeményezett, más felhasználók egyszerűen másolták be a tranzakciós szkriptjüket, és lecserélték a fogadó címét a sajátjukra – magyarázta Victor Young, az Analog interoperabilitási hálózat főépítésze.
Young szerint az intelligens szerződéses platformok, mint például a Nomadot működtető platformok legfontosabb előnye, hogy Turing-komplett rendszerek. „Gyakorlatilag mindent ki tudnak számítani, amit egy modern digitális számítógép képes matematikai szempontból” – mondta Young.
„Sajnos ez számtalan és ismeretlen támadási vektort vezet be, amelyek megnyitják az intelligens szerződést a feltörések előtt” – mondta Young a Blockworksnek. „Ha ezt a laza fejlesztőkkel kombináljuk, akik nem hajtják végre a tesztelési mechanizmusok robusztus készletét, akkor azt a nevetséges összeomlást kapjuk, aminek jelenleg is vagyunk tanúi.”
Forrás: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/