- Nomad incidents ir trešais lielākais gada kriptovalūtu uzlaušanas gadījums aiz Wormhole un Ronin
- Aptuveni 41 adrese no protokola izsūtīja kriptovalūtu
Žetonu tilts Nomad ir cietis "neprātīgi bez maksas visiem" pēc tam, kad uzbrucēji veica kratīšanu protokolā par vairāk nekā 190 miljoniem USD kriptovalūtā.
Uzņēmums Nomad, kas sevi tirgoja kā “drošības pirmā līmeņa” platformu ERC-20 marķieru nosūtīšanai starp saderīgām blokķēdēm, otrdienas rīta tviterī apstiprināja reidu.
Šis incidents atšķiras no citiem liela mēroga uzlaušanas gadījumiem, lai šogad kropļotu žetonu tiltus. Žetonu tilti ļauj kriptovalūtu lietotājiem pārsūtīt digitālos aktīvus tīklos, vispirms tos bloķējot viedā līgumā.
Pēc tam tilts izdod atvasinātu marķieri, “iesaiņotu aktīvu”, no otras puses, un to vērtības nodrošina to sākotnējie noguldījumi. Nomad atbalsta Ethereum, Avalanche, Evmos un Moonbeam.
Februāra Wormhole uzlaušana redzēja, ka uzbrucēji izmantoja buggy smart līguma kodu, lai iegūtu 320 miljonus USD Wrapped Ether, nepublicējot nepieciešamo nodrošinājumu.
Martā atklātais Axie Infinite Ronin tilta uzbrukums ietvēra mēnešus ilgu pikšķerēšanas kampaņu, lai iegūtu privātās atslēgas, kas saistītas ar tā multisig maku, kā rezultātā tika nozagti aptuveni 625 miljoni USD kriptovalūtu (abi incidenti tika novērtēti uzbrukuma laikā).
Taču Sems Suns, digitālo aktīvu investīciju firmas Paradigm drošības nodaļas vadītājs, savā Twitter pavedienā paskaidroja, ka Nomad zagļiem nekas nebija jāzina par Ethereum programmēšanas valodu Solidity, lai iegūtu lietotāja nodrošinājumu.
Rari Capital hakeris atgriezās reidā Nomad
Nomad izstrādātāji nejauši veica kārtējo jaunināšanu, kas lika protokolam apstrādāt jebkuru darījumu ar noklusējuma saknes jaucējvārdu “0x00”, kur parasti blokķēdes tīkliem ir nepieciešama unikāla un specifiska sakne, kas apliecina darījuma derīgumu.
Tas nozīmēja, ka Nomad efektīvi apstiprinās jebkuru darījumu, kas iesniegts protokolā. Pēc tam, kad uzbrucējs saprata un uzsāka lielas nelikumīgas pārsūtīšanas, citi lietotāji vienkārši kopēja un ielīmēja savu darījuma skriptu un aizstāja saņēmēja adresi ar savu, skaidroja Viktors Jangs, sadarbspējas tīkla Analog galvenais arhitekts.
Young uzskata, ka viedo līgumu platformu, piemēram, Nomad, galvenā priekšrocība ir tā, ka tās ir Tjūringa pilnīgas sistēmas. Viņi var aprēķināt "praktiski visu, ko mūsdienu digitālais dators var darīt no matemātiskā viedokļa," sacīja Jangs.
"Diemžēl tas ievieš neskaitāmus un nezināmus uzbrukuma vektorus, kas paver viedo līgumu uzlaušanai," intervijā Blockworks sacīja Jangs. "Kad jūs to apvienojat ar vieglprātīgiem izstrādātājiem, kuriem neizdodas ieviest spēcīgu testēšanas mehānismu kopumu, jūs iegūstat smieklīgu sabrukumu, ko mēs šobrīd piedzīvojam."
Jangs noteica citu blokķēdes platformu pilnīgu testēšanu un atkārtotus koda auditus, lai palīdzētu mazināt risku, ka tas varētu notikt citur.
Blockchain drošības firma PeckShield ziņots Aptuveni 41 adrese bija iebrukusi Nomad, kas ir iesaiņota Bitcoin un Wrapped Ether kombinācija, kā arī stabilās monētas DAI un USDC.
Proti, tā pati adrese, kas saistīta ar Rari Capital kapāt aprīļa beigās tika teikts, ka viņš kriptovalūtā ir izlaupījis 3.4 miljonus USD. Nomad viedajos līgumos ir palikuši mazāk nekā 12,000 190 USD, salīdzinot ar vairāk nekā XNUMX miljoniem USD pirms reida. DeFi lama.
Nomad incidents tagad ir trešais lielākais uzlaušanas gadā aiz Wormhole un Ronin. Nav skaidrs, kas uzņēmumam būs tālāk.
Gan Wormhole, gan Axie Infinite komandas piesaistīja riska kapitālu, lai pēc attiecīgo uzlaušanas padarītu gan savus lietotājus, gan protokolus veselus. Blockworks ir sazinājies ar Nomad, lai uzzinātu vairāk par viņu plāniem.
Saņemiet dienas populārākās kriptovalūtas ziņas un ieskatus, kas katru vakaru tiek piegādāti jūsu iesūtnē. Abonējiet Blockworks bezmaksas biļetenu tagad.
Avots: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/