Noong Lunes, ang cross-chain token bridge na Nomad ay inatake at ang mga hacker ay nakakuha ng $190 milyon mula sa protocol, na nag-drain ng malaking mayorya ng mga pondo. Ang Nomad cross-chain bridge attack ay ang pangatlo sa pinakamalaking crypto heist noong 2022, at ang ikasiyam na pinakamalaki sa lahat ng panahon.
Nomad Cross-Chain Bridge na pinagsamantalahan para sa $190 Million
Ang mga cross-chain na tulay sa mundo ng desentralisadong pananalapi (defi) ay hindi na makapagpahinga gaano man sila katagal na tumatakbo at kahit na na-audit na ang mga tulay. Noong Agosto 1, 2022, ang cross-chain bridge Pagala dumanas ng isang pag-atake na nakita ang tulay na nawalan ng $190 milyon sa mga pondo ng crypto. Mga eksperto sa seguridad sa blockchain auditing firm Sertik publish ng isang ulat ng insidente naglalarawan sa nangyari.
"Ang kahinaan ay nasa proseso ng pagsisimula kung saan ang "committedRoot" ay itinakda bilang ZERO," isinulat ni Certik. "Samakatuwid, nagawang i-bypass ng mga umaatake ang proseso ng pag-verify ng mensahe at maubos ang mga token mula sa kontrata ng tulay," idinagdag ni Certik, na binanggit:
Naganap ang pagsasamantala kapag pinahintulutan ng isang nakagawiang pag-upgrade ang mga mensahe sa pag-verify na ma-bypass sa Nomad. Inabuso ito ng mga attacker para kopyahin/i-paste ang mga transaksyon at nagawa nilang maubos ang tulay ng halos lahat ng pondo bago ito mapigil.
Ang mga cross-chain bridge ay nagdurusa mula sa pagsasamantala pagkatapos ng pagsasamantala mula noong una itong ipinakilala. Sa katapusan ng Marso, ang pinakamalaking hack ng 2022 nakakita ng $620 milyon na ninakaw mula sa Ronin bridge ng Axie Infinity. Detalye ng mga mananaliksik sa Comparitech na ang Nomad bridge attack ay ang pangatlo sa pinakamalaking paglabag sa taong ito, ayon sa research firm's tagasubaybay ng crypto heist. Habang ikinonekta ng Nomad ang iba't ibang mga network ng blockchain, ang tagapagtatag at CEO ng AVA Labs na si Emin Gün Sirer, ay nag-tweet tungkol sa insidente at sinabing ligtas ang tulay ng AVAX.
"Ang Nomad bridge, na ginagamit ng mga non-Avalanche chain, ay na-hack ngayon," Gün Sirer sinulat ni. “Si Nomad ang opisyal na tulay para sa EVMOS (Cosmos EVM), Moonbeam (Polkadot EVM), at Milkomeda (isa pang EVM) — Ang Avalanche Bridge ay hindi naaapektuhan.”
Nakalikom si Nomad ng $22 Milyon noong Abril, Sinabi ng Blockchain Security Company na Certik na Ang Partikular na Bug na Ito ay 'Mahirap Tuklasin Sa ilalim ng Mga Maginoo na Kasanayan sa Pag-audit'
Ang pag-atake laban sa Nomad bridge ay kasunod ng pagtataas ng proyekto sa humigit-kumulang $ 22.4 Milyon sa pagpopondo ng binhi sa isang round ng pananalapi na pinangunahan ng Polychain Capital. Ang iba pang madiskarteng mamumuhunan na tumulong sa Nomad na makalikom ng mga pondo ay kinabibilangan ng 1kx, Ethereal Ventures, Hack.vc, Circle Ventures, Amber, Robot Ventures, Hypersphere, Figment, Dialectic, Archetype, at Ledgerprime. Habang ang isang malawak na pag-audit ay maaaring natagpuan ang kahinaan ng Nomad bridge, ang blockchain at matalinong mga auditor ng kontrata mula sa Certik ay nagsasabi na ang pag-atake na ito ay maaaring mas mahirap hanapin sa isang maginoo na pag-audit.
"Ang ganitong uri ng isyu ay magiging mahirap na matuklasan sa ilalim ng maginoo na mga kasanayan sa pag-audit na ipinapalagay na tama ang lahat ng mga configuration ng deployment, dahil ang partikular na bug na ito ay ipinakilala ng mga pagkakamali sa mga parameter ng deployment," pagtatapos ng ulat ni Certik sa sitwasyon ng Nomad. "Gayunpaman, ang isang mas malawak na proseso ng pag-audit at full-scope penetration test na kinabibilangan ng pag-validate sa mga proseso ng deployment ay posibleng makuha ang bug na ito," idinagdag ng mga auditor.
Ano sa palagay mo ang kamakailang pagsasamantala sa cross-chain laban sa Nomad bridge? Ipaalam sa amin kung ano ang iyong iniisip tungkol sa paksang ito sa seksyon ng mga komento sa ibaba.
Mga Credits ng Larawan: Shutterstock, Pixabay, Wiki Commons, Comparitech,
Pagtanggi sa pananagutan: Ang artikulong ito ay para sa mga layuning pang-impormasyon lamang. Ito ay hindi isang direktang alok o paghingi ng isang alok upang bumili o magbenta, o isang rekomendasyon o pagrekomenda ng anumang mga produkto, serbisyo, o kumpanya. Bitcoin.com hindi nagbibigay ng payo sa pamumuhunan, buwis, ligal, o accounting. Hindi man ang kumpanya o ang may-akda ay responsable, nang direkta o hindi direkta, para sa anumang pinsala o pagkawala na sanhi o diumano’y sanhi ng o may kaugnayan sa paggamit ng o pag-asa sa anumang nilalaman, kalakal o serbisyo na nabanggit sa artikulong ito.
Pinagmulan: https://news.bitcoin.com/cross-chain-bridge-nomad-loses-190-million-making-it-2022s-third-largest-crypto-heist/