- Incident Nomad je tretji največji vdor v kriptovalute tega leta, za Wormhole in Ronin
- Približno 41 naslovov je črpalo kriptovaluto iz protokola
Token bridge Nomad je utrpel "blazno brezplačno za vse", potem ko so napadalci vdrli v protokol za več kot 190 milijonov dolarjev v kriptovaluti.
Nomad, ki se trži kot "varnostna prva" platforma za pošiljanje žetonov ERC-20 med združljivimi verigami blokov, je v torkovem jutranjem tvitu potrdil napad.
Incident se razlikuje od drugih obsežnih vdorov, ki so letos ohromili mostove žetonov. Mostovi žetonov omogočajo uporabnikom kriptovalut prenos digitalnih sredstev prek omrežij tako, da jih najprej zaklenejo v pametno pogodbo.
Most nato na drugi strani izda izvedeni žeton, »zavito sredstvo«, katerega vrednost je podprta z njihovimi prvotnimi depoziti. Nomad podpira Ethereum, Avalanche, Evmos in Moonbeam.
Februarski vdor v Wormhole je videl, da so napadalci izkoristili kodo pametne pogodbe z napakami, da so si skovali 320 milijonov dolarjev v Wrapped Ether, ne da bi objavili zahtevano zavarovanje.
Napad na most Axie Infinite Ronin, razkrit marca, je vključeval večmesečno kampanjo lažnega predstavljanja za pridobitev zasebnih ključev, povezanih z denarnico z več vpisi, kar je povzročilo ukradenih približno 625 milijonov dolarjev kripto (oba incidenta sta bila ocenjena v času napada).
Toda Sam Sun, vodja varnosti pri družbi za naložbe v digitalna sredstva Paradigm, je v temi na Twitterju pojasnil, da Nomadovim tatovom ni bilo treba vedeti ničesar o programskem jeziku Ethereum Solidity, da bi pobegnili z uporabniškim zavarovanjem.
Heker Rari Capital se je vrnil v napad na Nomad
Nomadovi razvijalci so pomotoma potisnili rutinsko nadgradnjo, ki je protokolu naročila, naj obdela katero koli transakcijo s privzetim korenskim zgoščevanjem »0x00«, kjer običajno omrežja blockchain zahtevajo edinstven in specifičen koren kot dokaz, da je transakcija veljavna.
To je pomenilo, da bi Nomad dejansko odobril vsako transakcijo, predloženo protokolu. Ko je napadalec ugotovil in sprožil velike nedovoljene prenose, so drugi uporabniki preprosto kopirali in prilepili svoj transakcijski skript in naslov prejemnika zamenjali s svojim, je pojasnil Victor Young, glavni arhitekt pri interoperabilnostnem omrežju Analog.
Za Younga je ključna prednost pametnih pogodbenih platform, kot so tiste, ki poganjajo Nomad, ta, da so Turingovi popolni sistemi. Izračunajo lahko "skoraj vse, kar zmore sodoben digitalni računalnik z matematičnega vidika," je dejal Young.
"Na žalost to uvaja neštete in neznane vektorje napadov, ki pametno pogodbo odpirajo vdorom," je Young povedal za Blockworks. "Ko to združite z ohlapnimi razvijalci, ki ne uspejo implementirati robustnega nabora mehanizmov testiranja, dobite smešen zlom, ki smo mu trenutno priča."
Vir: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/