Pastaraisiais mėnesiais iš kriptovaliutų rinkos buvo nušluota milijardai dolerių vertės. Pramonės įmonės jaučia skausmą. Skolinimo ir prekybos įmonės susiduria su likvidumo krize, o daugelis įmonių paskelbė apie atleidimus.
Yu Chun Christopher Wong | S3studio | Getty Images
Įsilaužėliai nusausino beveik 200 milijonų JAV dolerių kriptovaliutos iš Nomad – įrankio, leidžiančio vartotojams keisti žetonus iš vienos blokų grandinės į kitą.
Nomadas pripažino išnaudojimą tviteryje vėlai pirmadienį.
„Mes žinome apie incidentą, susijusį su Nomad žetonų tiltu“, – sakė startuolis. „Šiuo metu tiriame ir pateiksime atnaujinimus, kai juos turėsime.
Ne visiškai aišku, kaip ataka buvo surengta, ar Nomad planuoja atlyginti vartotojams, praradusiems žetonus per ataką. CNBC susisiekus su kompanija, kuri save parduoda kaip „saugią kelių grandinių pranešimų siuntimo“ paslaugą, nebuvo galima iš karto komentuoti.
Blockchain saugumo ekspertai apibūdino išnaudojimą kaip „nemokamą visiems“. Kiekvienas, žinantis apie išnaudojimą ir jo veikimą, galėjo pasinaudoti trūkumu ir atsiimti iš Nomad tam tikrą sumą žetonų – panašiai kaip bankomatas, išleidžiantis pinigus vienu mygtuko paspaudimu.
Tai prasidėjo nuo Nomad kodo atnaujinimo. Viena kodo dalis buvo pažymėta kaip galiojanti, kai vartotojai nusprendė inicijuoti pervedimą, o tai leido vagims atsiimti daugiau turto, nei buvo įnešta į platformą. Kai kiti užpuolikai suprato, kas vyksta, jie dislokavo robotų armijas, kad įvykdytų kopijavimo atakas.
„Neturėdamas ankstesnės programavimo patirties, bet kuris vartotojas gali tiesiog nukopijuoti pradinius užpuoliko operacijų skambučių duomenis ir pakeisti adresą savo adresu, kad išnaudotų protokolą“, – sakė Victoras Youngas, kriptovaliutų paleidimo įmonės Analog įkūrėjas ir vyriausiasis architektas.
„Skirtingai nei ankstesnės atakos, „Nomad“ įsilaužimas tapo nemokama visiems, kai keli vartotojai pradėjo ištuštinti tinklą tiesiog atkurdami pradinius užpuoliko operacijų skambučių duomenis.
Samas Sunas, kriptovaliutų investicinės įmonės „Paradigm“ tyrimų partneris, aprašyta išnaudojimas kaip „vienas chaotiškiausių įsilaužimų, kokį Web3 kada nors matė“ – „Web3“ yra hipotetinė ateities interneto iteracija, sukurta remiantis „blockchain“ technologija.
Nomad yra tai, kas žinoma kaip „tiltas“, įrankis, leidžiantis vartotojams keistis žetonais ir informacija tarp skirtingų kriptovaliutų tinklų. Jie naudojami kaip alternatyva atlikti sandorius tiesiogiai blokų grandinėje Ethereum, kuri gali apmokestinti naudotojus didelius apdorojimo mokesčius, kai vienu metu vyksta daug veiklos.
Dėl pažeidžiamumų ir prasto dizaino tiltai tapo pagrindiniu taikiniu įsilaužėliams, norintiems išvilioti investuotojams milijonus. Remiantis kriptovaliutų atitikties įmonės „Elliptic“ ataskaita, 1 m. iki šiol buvo pavogta daugiau nei 2022 milijardas USD kriptovaliutų turto.
Balandžio mėnesį blokų grandinės tiltas, vadinamas Ronin, buvo išnaudotas a 600 milijonų dolerių kriptovaliutų vagystė, kurią JAV pareigūnai nuo to laiko priskyrė Šiaurės Korėjos valstybei. Po kelių mėnesių per panašią ataką iš Harmony, kito tilto, buvo nusausinta 100 mln.
Kaip ir „Ronin“ ir „Harmony“, „Nomad“ buvo nukreiptas dėl kodo trūkumo, tačiau buvo keletas skirtumų. Su šiomis atakomis įsilaužėliai galėjo nuskaityti privačius raktus, reikalingus valdyti tinklą ir pradėti pašalinti žetonus. Nomado atveju tai buvo daug paprasčiau. Įprastas tilto atnaujinimas leido vartotojams suklastoti sandorius ir užsidirbti milijonų vertės kriptovaliutų.
Šaltinis: https://www.cnbc.com/2022/08/02/hackers-drain-nearly-200-million-from-crypto-startup-nomad.html