- Ang Nomad incident ay ang pangatlo sa pinakamalaking cryptocurrency hack ng taon, sa likod ng Wormhole at Ronin
- Humigit-kumulang 41 address ang sumipsip ng cryptocurrency mula sa protocol
Ang Token bridge Nomad ay dumanas ng “frenzied free-for-all” matapos salakayin ng mga attacker ang protocol para sa higit sa $190 milyon sa cryptocurrency.
Ang Nomad, na nag-market sa sarili bilang isang "security-first" na platform para sa pagpapadala ng mga token ng ERC-20 sa pagitan ng mga katugmang blockchain, ay nakumpirma ang raid sa isang tweet noong Martes ng umaga.
Ang insidente ay naiiba mula sa iba pang malakihang pag-hack upang lumpoin ang mga token bridge sa taong ito. Ang mga token bridge ay nagbibigay-daan sa mga gumagamit ng crypto na mag-port ng mga digital na asset sa mga network sa pamamagitan ng unang pag-lock sa kanila sa loob ng isang matalinong kontrata.
Ang tulay ay naglalabas ng isang derivative token, isang "nakabalot na asset," sa kabilang panig, kasama ang kanilang mga halaga na sinusuportahan ng kanilang mga orihinal na deposito. Sinusuportahan ng Nomad ang Ethereum, Avalanche, Evmos at Moonbeam.
Nakita ng pag-hack ng Wormhole noong Pebrero ang mga umaatake na sinamantala ang buggy smart contract code upang i-mint ang kanilang mga sarili ng $320 milyon sa Wrapped Ether nang hindi nagpo-post ng kinakailangang collateral.
Ang pag-atake sa tulay ng Axie Infinite Ronin, na ibinunyag noong Marso, ay nagsasangkot ng isang buwang kampanyang phishing upang makakuha ng mga pribadong key na nauugnay sa multisig wallet nito, na nagresulta sa mga $625 milyon sa crypto na nanakaw (parehong mga insidente na nagkakahalaga sa oras ng pag-atake).
Ngunit si Sam Sun, pinuno ng seguridad sa digital asset investment firm na Paradigm, ay ipinaliwanag sa isang Twitter thread na ang mga magnanakaw ng Nomad ay hindi kailangang malaman ang anumang bagay tungkol sa Ethereum programming language Solidity upang makabawi sa collateral ng user.
Ang hacker ng Rari Capital ay bumalik sa pagsalakay sa Nomad
Ang mga developer ng Nomad ay hindi sinasadyang nagtulak ng isang nakagawiang pag-upgrade na nagsabi sa protocol na iproseso ang anumang transaksyon na may default na root hash na "0x00," kung saan kadalasan ang mga network ng blockchain ay nangangailangan ng kakaiba at partikular na ugat bilang patunay na ang transaksyon ay wasto.
Nangangahulugan ito na epektibong aaprubahan ng Nomad ang anumang transaksyon na isinumite sa protocol. Matapos matanto ng isang umaatake at nagpasimula ng malalaking ipinagbabawal na paglilipat, kinopya lang ng ibang mga user ang script ng kanilang transaksyon at pinalitan ang address ng receiver ng sarili nila, paliwanag ni Victor Young, punong arkitekto sa interoperability network Analog.
Para kay Young, isang pangunahing bentahe ng mga smart contract platform, tulad ng mga nagpapagana sa Nomad, ay ang mga ito ay Turing-complete system. Maaari nilang kalkulahin ang "halos lahat ng magagawa ng modernong digital na computer mula sa isang matematikal na pananaw," sabi ni Young.
"Sa kasamaang palad, ipinakilala nito ang hindi mabilang at hindi kilalang mga vector ng pag-atake na nagbubukas ng matalinong kontrata sa mga hack," sinabi ni Young sa Blockworks. "Kapag pinagsama mo ito sa mga mahinang developer na nabigong ipatupad ang isang matatag na hanay ng mga mekanismo ng pagsubok, makukuha mo ang katawa-tawang pagkasira na kasalukuyang nasasaksihan namin."
Inireseta ni Young ang iba pang mga platform ng blockchain na end-to-end na mga pagsubok at paulit-ulit na pag-audit ng code upang makatulong na mabawasan ang panganib na mangyari ito sa ibang lugar.
Blockchain security firm na PeckShield iniulat humigit-kumulang 41 na address ang sumalakay sa Nomad, isang pinaghalong Wrapped Bitcoin at Wrapped Ether kasama ng stablecoins na DAI at USDC.
Kapansin-pansin, ang parehong address na nauugnay sa Rari Capital magtadtad noong huling bahagi ng Abril ay sinabi na nanakaw ng $3.4 milyon sa cryptocurrency. Mas mababa sa $12,000 ang natitira sa mga matalinong kontrata ng Nomad, bumaba mula sa higit sa $190 milyon bago ang pagsalakay, bawat DeFi Llama.
Ang insidente ng Nomad ay ang ikatlong pinakamalaking hack ng taon, sa likod ng Wormhole at Ronin. Hindi malinaw kung ano ang susunod para sa kompanya.
Ang mga koponan ng Wormhole at Axie Infinite ay nagtaas ng venture capital sa isang bid na gawing buo ang kanilang mga user at protocol kasunod ng kani-kanilang mga hack. Nakipag-ugnayan ang Blockworks sa Nomad para matuto pa tungkol sa kanilang mga plano.
Kunin ang nangungunang balita at mga insight sa crypto sa araw na ito sa iyong inbox tuwing gabi. Mag-subscribe sa libreng newsletter ng Blockworks ngayon.
Pinagmulan: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/