Cross-chain bridge Ang Nomad Bridge ay naging pangunahing target ng mga hacker at...looters, at goodness knows what else...
Ang Nomad Bridge, isang protocol na nagbibigay-daan sa mga pakikipag-ugnayan sa pagitan ng iba't ibang blockchain, ay na-hack ngayong linggo. Sinamantala ng mga hacker ang mga kahinaan ng tulay at nagnakaw ng higit sa $190 milyon sa mga ari-arian.
Kabilang sa mga asset na apektado sa insidente ang WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL, at C3. Nomad ang susunod na pangalan na sumali sa listahan ng mga malas na tulay sa ilalim ng malalaking pag-atake kasunod ng Axie Infinity at Horizon.
Natamaan ang Nomad Bridge – Sa Malaking Paraan
Ang unang kahina-hinalang transaksyon ay ginawa noong Agosto 2, nang sinubukan ng mga hacker na ilipat ang 100 Wrapped Bitcoin (WBTC) na katumbas ng $2.3 milyon mula sa tulay.
Sa pagtuklas ng problema tungkol sa mga posibleng karagdagang pagsasamantala, sinamantala ng mga oportunista ang butas, kinopya ang impormasyon ng transaksyon ng hacker, binago ang orihinal na address sa kanilang mga address, at matagumpay na nag-withdraw ng pera.
Ang pagsasamantala sa oras na ito ay madaling ma-duplicate, na nagpapaliwanag kung bakit ito ang pinakamabilis at pinakamagulong pag-atake.
Ang sinuman sa Discord ng proyekto ay maaaring kopyahin lamang ang unang transaksyon ng umaatake at baguhin ang address, pagkatapos ay pindutin ang ipadala sa pamamagitan ng Etherscan, random silang makakatanggap ng libong dolyar bawat txid.
Paano ito maaaring mangyari?
Dahil ang insidente ay iniimbestigahan pa, ang na-hack na proyekto ay hindi nagbigay ng anumang karagdagang paliwanag. Gayunpaman, ang ilang mga mananaliksik at eksperto sa crypto ay nagpahiwatig ng mga praktikal na sagot.
Ang Wild West ng Pananalapi
Ayon sa Paradigm researcher na si Sam Sun, ang kahinaan ay nagmumula sa isa pang bug na natuklasan at iniulat sa Nomad ng smart contract auditing unit na Quantstamp noong unang bahagi ng Hunyo.
Tinutugunan ng proyekto ang iba pang isyu, ngunit sa proseso ng paggawa nito, nagbago ito sa root 0x000..., na nagreresulta sa mga epektong naganap.
Ang bawat transaksyon ay dadaan sa isang verification (verify) na yugto upang matiyak na ito ay wasto. At, habang kailangan ang Root para sa pag-verify na ito, iniwan ito ng developer dito sa 0x00, at awtomatikong tinitiyak ng Root identifying code na ito na valid ang lahat ng transaksyon.
Ang koponan ng Nomad ay naglabas ng mga babala tungkol sa kaganapang nauugnay sa tulay ng Nomad token hindi nagtagal matapos malaman ang tungkol dito.
Ang Nomad bridge ay isinara kasunod ng pag-atake, ayon sa opisyal na Nomad Twitter thread. Sinabi ng koponan na nakikipagtulungan sila sa pagpapatupad ng batas upang higit pang imbestigahan ang kaganapan.
Sa wit,
"Alam namin ang mga impersonator na nagpapanggap bilang Nomad at nagbibigay ng mga mapanlinlang na address upang mangolekta ng mga pondo. Hindi pa kami nagbibigay ng mga tagubilin upang ibalik ang mga pondo ng tulay. Huwag pansinin ang mga comm mula sa lahat ng channel maliban sa opisyal na channel ng Nomad: @nomadxyz_.”
Ang Nomad ay isang Mahusay na Ideya
Ang Nomad ay isang tulay na nagpapahintulot sa paglipat ng mga token sa pagitan ng iba't ibang blockchain tulad ng Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1, at Moonbeam (GLMR) sa pamamagitan ng sistema ng pagmemensahe ng Nomad.
Ang protocol ay may malawak na hanay ng mga posibilidad ng aplikasyon at maaaring magamit upang bumuo ng mga cross-chain na app.
Ipinahayag kamakailan ng Nomad na matagumpay itong nakalikom ng $22 milyon mula sa mga nangunguna sa industriya kabilang ang Coinbase Ventures, OpenSea, at limang iba pang pangunahing manlalaro sa isang seed funding na pinamumunuan ng Polychain noong Abril. Ang pagpopondo ay nanguna sa paghahalaga ng kumpanya sa $225 milyon.
Kung ihahambing sa mga pag-atake laban sa mga cross-chain bridge noong 2021, ang mga pag-atakeng ito sa taong ito ay nagdulot ng matinding pinsala sa mismong proyekto, mga VC, at mga proyektong nauugnay sa mga tulay dahil sa likas na pagkakakonekta ng isang cross-chain bridge.
Ang katotohanan na ang blockchain ay desentralisado ay ginagawang mas madaling ipagtanggol. Ngunit ang mga protocol at software ay ginawa ng lahat ng mga tao, kaya posible na may mga kahinaan.
Ang mga kamakailang pag-atake ay hindi talaga nakatutok sa blockchain platform mismo. Sa halip, ang mga ito ay naglalayong sa mga aplikasyon parang laro, wallet, palitan, at mga tulay.
Ito ay mga web at mobile app na gumagamit ng blockchain, ngunit mayroon pa rin silang parehong mga bahid sa seguridad gaya ng tradisyonal na software dahil ang mga ito ay web at mobile app pa rin.
Mula sa simula ng taon, apat na cross-chain bridge ang na-hack, kabilang ang Wormhole, Ronin, Horizon, at Nomad. Walang mas mababa sa $100 milyon ang pagkawala.
Pinahusay ng Cross-chain Bridge ang interoperability ng blockchain, na nagreresulta sa mas magandang karanasan para sa mga gumagamit at developer ng blockchain. Gayunpaman, dahil sa mga partikular na kahinaan, ang mga tulay na ito ay naging sikat na target ng mga umaatake kamakailan.
Pinagmulan: https://blockonomi.com/latest-crypto-hack-nomad-bridge-suffers-190m-raid/