- „Nomad“ incidentas yra trečias pagal dydį kriptovaliutų įsilaužimas šiais metais, po „Wormhole“ ir „Ronin“
- Maždaug 41 adresas perėmė kriptovaliutą iš protokolo
Žetonų tiltas Nomadas patyrė „pasiutusį nemokamą visiems“ po to, kai užpuolikai įsiveržė į protokolą dėl daugiau nei 190 mln. USD kriptovaliutos.
„Nomad“, kuri reklamavosi kaip „saugumas pirmiausia“ platforma, skirta ERC-20 žetonų siuntimui tarp suderinamų blokų grandinių, patvirtino reidą antradienio ryto tviteryje.
Šis incidentas skiriasi nuo kitų didelio masto įsilaužimų, kad suluošintų žetonų tiltus šiais metais. Žetonų tiltai leidžia kriptovaliutų vartotojams perkelti skaitmeninį turtą per tinklus, pirmiausia užrakinant juos išmaniojoje sutartyje.
Tada tiltas išleidžia išvestinį žetoną, „supakuotą turtą“, kitoje pusėje, o jų vertės yra pagrįstos pradiniais indėliais. Nomad palaiko Ethereum, Avalanche, Evmos ir Moonbeam.
Vasario „Wormhole“ įsilaužimas pastebėjo, kad užpuolikai išnaudojo klaidingą išmaniosios sutarties kodą, kad nusikaltų 320 mln. USD „Wrapped Ether“, nepateikdami reikiamo užstato.
Axie Infinite Ronin tilto ataka, paskelbta kovo mėn., apėmė mėnesius trukusią sukčiavimo kampaniją, skirtą gauti privačius raktus, susijusius su jos multisig pinigine, dėl kurios buvo pavogta apie 625 mln. USD kriptovaliutų (abu incidentai buvo įvertinti atakos metu).
Tačiau Samas Sunas, skaitmeninio turto investicinės bendrovės „Paradigm“ saugumo vadovas, socialiniame tinkle „Twitter“ paaiškino, kad „Nomad“ vagys neturėjo nieko žinoti apie „Ethereum“ programavimo kalbą „Solidity“, kad galėtų apsieiti su vartotojo užstatu.
„Rari Capital“ įsilaužėlis grįžo į reidą „Nomad“.
Nomad kūrėjai netyčia pastūmėjo įprastą atnaujinimą, kuris nurodė protokolui apdoroti bet kokią operaciją naudojant numatytąją šakninę maišą „0x00“, kur paprastai „blockchain“ tinklams reikalinga unikali ir specifinė šaknis, kaip įrodymas, kad operacija galioja.
Tai reiškė, kad Nomadas veiksmingai patvirtins bet kokį protokole pateiktą sandorį. Po to, kai užpuolikas suprato ir inicijavo didelius neteisėtus perkėlimus, kiti vartotojai tiesiog nukopijavo ir įklijavo savo operacijos scenarijų ir pakeitė gavėjo adresą savo adresu, paaiškino Victoras Youngas, „Analog“ sąveikos tinklo vyriausiasis architektas.
Youngo nuomone, pagrindinis išmaniųjų sutarčių platformų, kaip ir tų, kurios maitina „Nomad“, privalumas yra tas, kad jos yra visiškai Turingo sistemos. Jie gali apskaičiuoti „beveik viską, ką šiuolaikinis skaitmeninis kompiuteris gali padaryti matematiniu požiūriu“, - sakė Youngas.
„Deja, tai sukuria daugybę nežinomų atakų vektorių, kurie atveria išmaniąją sutartį įsilaužimams“, – „Blockworks“ sakė Youngas. „Kai tai derinate su atsainiais kūrėjais, kurie neįgyvendina tvirto testavimo mechanizmų rinkinio, gaunate juokingą žlugimą, kurį šiuo metu stebime.
Youngas paskyrė kitų blokų grandinės platformų testus ir pakartotinius kodo auditus, kad padėtų sumažinti riziką, kad tai įvyks kitur.
„Blockchain“ saugos įmonė „PeckShield“. pranešė maždaug 41 adresas užpuolė Nomad, Wrapped Bitcoin ir Wrapped Ether mišinį kartu su stabiliomis monetomis DAI ir USDC.
Pažymėtina, kad tas pats adresas, susijęs su Rari sostine Hack buvo teigiama, kad balandžio pabaigoje pasisavino kriptovaliutą už 3.4 mln. „Nomad“ išmaniosiose sutartyse liko mažiau nei 12,000 190 USD, palyginti su daugiau nei XNUMX mln. USD prieš reidą. „DeFi Lama“.
„Nomad“ incidentas dabar yra trečias pagal dydį įsilaužimas šiais metais po „Wormhole“ ir „Ronin“. Neaišku, kas bus toliau su įmone.
Tiek „Wormhole“, tiek „Axie Infinite“ komandos pritraukė rizikos kapitalą, siekdamos, kad po atitinkamų įsilaužimų jų vartotojai ir protokolai būtų vientisi. „Blockworks“ susisiekė su „Nomad“, kad sužinotų daugiau apie jų planus.
Kiekvieną vakarą gaukite populiariausias kriptovaliutų naujienas ir įžvalgas į jūsų pašto dėžutę. Prenumeruokite nemokamą „Blockworks“ naujienlaiškį dabar.
Šaltinis: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/