Bilyun-bilyong dolyar na halaga ang natanggal sa merkado ng cryptocurrency nitong mga nakaraang buwan. Nararamdaman ng mga kumpanya sa industriya ang sakit. Ang mga kumpanya ng pagpapautang at pangangalakal ay nahaharap sa isang krisis sa pagkatubig at maraming mga kumpanya ang nag-anunsyo ng mga tanggalan.
Yu Chun Christopher Wong | S3studio | Getty Images
Naubos ng mga hacker ang halos $200 milyon sa cryptocurrency mula sa Nomad, isang tool na nagbibigay-daan sa mga user na magpalit ng mga token mula sa isang blockchain patungo sa isa pa, sa isa pang pag-atake na nagpapakita ng mga kahinaan sa desentralisadong espasyo sa pananalapi.
Kinilala ni Nomad ang pagsasamantala sa isang tweet noong huling bahagi ng Lunes.
"Alam namin ang insidente na kinasasangkutan ng Nomad token bridge," sabi ng startup. "Kami ay kasalukuyang nag-iimbestiga at magbibigay ng mga update kapag mayroon kami ng mga ito."
Hindi lubos na malinaw kung paano inayos ang pag-atake, o kung plano ng Nomad na ibalik ang mga user na nawalan ng mga token sa pag-atake. Ang kumpanya, na ibinebenta ang sarili bilang isang serbisyong "secure na cross-chain messaging", ay hindi kaagad magagamit para sa komento nang makipag-ugnayan sa pamamagitan ng CNBC.
Inilarawan ng mga eksperto sa seguridad ng Blockchain ang pagsasamantala bilang isang "libre-para-sa-lahat." Ang sinumang may kaalaman sa pagsasamantala at kung paano ito nagtrabaho ay maaaring sakupin ang kapintasan at mag-withdraw ng dami ng mga token mula sa Nomad — parang isang cash machine na naglalabas ng pera sa pagpindot ng isang pindutan.
Nagsimula ito sa pag-upgrade sa code ng Nomad. Ang isang bahagi ng code ay minarkahan bilang wasto sa tuwing nagpasya ang mga user na magpasimula ng paglipat, na nagpapahintulot sa mga magnanakaw na mag-withdraw ng higit pang mga asset kaysa sa na-deposito sa platform. Sa sandaling ang ibang mga umaatake ay nakaintindi sa kung ano ang nangyayari, nag-deploy sila ng mga hukbo ng mga bot upang magsagawa ng mga pag-atake ng copycat.
"Kung walang naunang karanasan sa programming, maaaring kopyahin ng sinumang user ang data ng tawag sa transaksyon ng orihinal na mga attacker at palitan ang address sa kanila upang pagsamantalahan ang protocol," sabi ni Victor Young, tagapagtatag at punong arkitekto ng crypto startup Analog.
"Hindi tulad ng mga nakaraang pag-atake, ang Nomad hack ay naging libre-para-sa-lahat kung saan nagsimulang maubos ng maraming user ang network sa pamamagitan lamang ng pag-replay ng data ng tawag sa transaksyon ng orihinal na mga umaatake."
Sam Sun, research partner sa crypto-focused investment firm Paradigm, inilarawan ang pagsasamantala bilang "isa sa mga pinaka-magulong hack na nakita ng Web3" — ang Web3 ay isang hypothetical na pag-ulit sa hinaharap ng internet na binuo sa paligid ng teknolohiya ng blockchain.
Ang Nomad ay tinatawag na "tulay," isang tool na nagbibigay-daan sa mga user na magpalitan ng mga token at impormasyon sa pagitan ng iba't ibang crypto network. Ginagamit ang mga ito bilang alternatibo sa paggawa ng mga transaksyon nang direkta sa tulad ng blockchain Ethereum, na maaaring maningil sa mga user ng mataas na bayad sa pagpoproseso kapag maraming aktibidad ang nangyayari nang sabay-sabay.
Ang mga pagkakataon ng mga kahinaan at hindi magandang disenyo ay ginawa ang mga tulay na isang pangunahing target para sa mga hacker na naglalayong linlangin ang mga namumuhunan mula sa milyun-milyon. Mahigit sa $1 bilyon sa mga crypto asset ang ninakaw sa pamamagitan ng bridge exploits sa ngayon noong 2022, ayon sa isang ulat mula sa crypto compliance firm na Elliptic.
Noong Abril, ang isang blockchain bridge na tinatawag na Ronin ay pinagsamantalahan sa isang $600 milyon crypto heist, na mula noon ay iniugnay ng mga opisyal ng US sa estado ng North Korea. Pagkalipas ng ilang buwan, ang Harmony, isa pang tulay, ay naubos ng $100 milyon sa katulad na pag-atake.
Tulad ng Ronin at Harmony, ang Nomad ay na-target sa pamamagitan ng isang depekto sa code nito — ngunit may ilang mga pagkakaiba. Sa mga pag-atakeng iyon, nakuha ng mga hacker ang mga pribadong key na kailangan para magkaroon ng kontrol sa network at magsimulang maglabas ng mga token. Sa kaso ni Nomad, ito ay mas simple kaysa doon. Ang isang nakagawiang pag-update sa tulay ay nagbigay-daan sa mga user na gumawa ng mga transaksyon at makatipid gamit ang milyun-milyong halaga ng crypto.
Pinagmulan: https://www.cnbc.com/2022/08/02/hackers-drain-nearly-200-million-from-crypto-startup-nomad.html