- Incident Nomad je tretji največji vdor v kriptovalute tega leta, za Wormhole in Ronin
- Približno 41 naslovov je črpalo kriptovaluto iz protokola
Token bridge Nomad je utrpel "blazno brezplačno za vse", potem ko so napadalci vdrli v protokol za več kot 190 milijonov dolarjev v kriptovaluti.
Nomad, ki se trži kot "varnostna prva" platforma za pošiljanje žetonov ERC-20 med združljivimi verigami blokov, je v torkovem jutranjem tvitu potrdil napad.
Incident se razlikuje od drugih obsežnih vdorov, ki so letos ohromili mostove žetonov. Mostovi žetonov omogočajo uporabnikom kriptovalut prenos digitalnih sredstev prek omrežij tako, da jih najprej zaklenejo v pametno pogodbo.
Most nato na drugi strani izda izvedeni žeton, »zavito sredstvo«, katerega vrednost je podprta z njihovimi prvotnimi depoziti. Nomad podpira Ethereum, Avalanche, Evmos in Moonbeam.
Februarski vdor v Wormhole je videl, da so napadalci izkoristili kodo pametne pogodbe z napakami, da so si skovali 320 milijonov dolarjev v Wrapped Ether, ne da bi objavili zahtevano zavarovanje.
Napad na most Axie Infinite Ronin, razkrit marca, je vključeval večmesečno kampanjo lažnega predstavljanja za pridobitev zasebnih ključev, povezanih z denarnico z več vpisi, kar je povzročilo ukradenih približno 625 milijonov dolarjev kripto (oba incidenta sta bila ocenjena v času napada).
Toda Sam Sun, vodja varnosti pri družbi za naložbe v digitalna sredstva Paradigm, je v temi na Twitterju pojasnil, da Nomadovim tatovom ni bilo treba vedeti ničesar o programskem jeziku Ethereum Solidity, da bi pobegnili z uporabniškim zavarovanjem.
Heker Rari Capital se je vrnil v napad na Nomad
Nomadovi razvijalci so pomotoma potisnili rutinsko nadgradnjo, ki je protokolu naročila, naj obdela katero koli transakcijo s privzetim korenskim zgoščevanjem »0x00«, kjer običajno omrežja blockchain zahtevajo edinstven in specifičen koren kot dokaz, da je transakcija veljavna.
To je pomenilo, da bi Nomad dejansko odobril vsako transakcijo, predloženo protokolu. Ko je napadalec ugotovil in sprožil velike nedovoljene prenose, so drugi uporabniki preprosto kopirali in prilepili svoj transakcijski skript in naslov prejemnika zamenjali s svojim, je pojasnil Victor Young, glavni arhitekt pri interoperabilnostnem omrežju Analog.
Za Younga je ključna prednost pametnih pogodbenih platform, kot so tiste, ki poganjajo Nomad, ta, da so Turingovi popolni sistemi. Izračunajo lahko "skoraj vse, kar zmore sodoben digitalni računalnik z matematičnega vidika," je dejal Young.
"Na žalost to uvaja neštete in neznane vektorje napadov, ki pametno pogodbo odpirajo vdorom," je Young povedal za Blockworks. "Ko to združite z ohlapnimi razvijalci, ki ne uspejo implementirati robustnega nabora mehanizmov testiranja, dobite smešen zlom, ki smo mu trenutno priča."
Young je drugim platformam blockchain predpisal celovite teste in ponavljajoče se revizije kode, da bi zmanjšal tveganje, da bi se to zgodilo drugje.
Varnostno podjetje za verigo blokov PeckShield poročali približno 41 naslovov je vdrlo v Nomad, mešanico Wrapped Bitcoin in Wrapped Ether skupaj s stabilnimi kovanci DAI in USDC.
Predvsem isti naslov, povezan s prestolnico Rari kramp konec aprila naj bi ukradel 3.4 milijona dolarjev v kriptovaluti. Manj kot 12,000 dolarjev ostaja v Nomadovih pametnih pogodbah, kar je manj od več kot 190 milijonov dolarjev pred napadom na DeFi lama.
Incident Nomad je zdaj tretji največji vdor leta, za Wormhole in Ronin. Ni jasno, kaj je naslednje za podjetje.
Ekipi Wormhole in Axie Infinite sta zbrali tvegani kapital v želji, da bi tako svoje uporabnike kot protokole po svojih vdorih naredili celovite. Blockworks je stopil v stik z Nomadom, da bi izvedel več o njihovih načrtih.
Vsak večer v vaš nabiralnik prejmete najpomembnejše kripto novice in vpoglede dneva. Naročite se na brezplačno glasilo podjetja Blockworks zdaj.
Vir: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/