Penggodam menghabiskan hampir $200 juta daripada permulaan crypto Nomad

Penggodam menghabiskan hampir $200 juta dalam mata wang kripto daripada Nomad, alat yang membolehkan pengguna menukar token dari satu blok ke blok lain, dalam serangan lain yang menonjolkan kelemahan dalam ruang kewangan terdesentralisasi.

Nomad mengakui eksploitasi itu dalam tweet lewat Isnin.

"Kami menyedari insiden yang melibatkan jambatan token Nomad," kata syarikat permulaan itu. "Kami sedang menyiasat dan akan memberikan kemas kini apabila kami mendapatnya."

Ia tidak sepenuhnya jelas bagaimana serangan itu dirancang, atau jika Nomad merancang untuk membayar balik pengguna yang kehilangan token dalam serangan itu. Syarikat itu, yang memasarkan dirinya sebagai perkhidmatan "pemesejan rentas rantaian selamat", tidak segera tersedia untuk ulasan apabila dihubungi oleh CNBC.

Pakar keselamatan Blockchain menyifatkan eksploitasi itu sebagai "percuma untuk semua." Sesiapa yang mempunyai pengetahuan tentang eksploitasi dan cara ia berfungsi boleh mengambil kira kelemahan itu dan mengeluarkan sejumlah token daripada Nomad — seperti mesin tunai yang memuntahkan wang dengan menekan butang.

Ia bermula dengan peningkatan kepada kod Nomad. Satu bahagian kod ditandakan sebagai sah apabila pengguna memutuskan untuk memulakan pemindahan, yang membenarkan pencuri mengeluarkan lebih banyak aset daripada yang didepositkan ke dalam platform. Setelah penyerang lain mengetahui apa yang sedang berlaku, mereka mengerahkan tentera bot untuk melakukan serangan peniru.

“Tanpa pengalaman pengaturcaraan terdahulu, mana-mana pengguna hanya boleh menyalin data panggilan transaksi penyerang asal dan menggantikan alamat dengan alamat mereka untuk mengeksploitasi protokol,” kata Victor Young, pengasas dan ketua arkitek permulaan crypto Analog.

"Tidak seperti serangan sebelumnya, penggodaman Nomad menjadi percuma untuk semua di mana berbilang pengguna mula mengalirkan rangkaian dengan hanya memainkan semula data panggilan transaksi penyerang asal."

Sam Sun, rakan kongsi penyelidikan di firma pelaburan tertumpu crypto Paradigm, digambarkan eksploitasi sebagai "salah satu penggodaman paling huru-hara yang pernah dilihat oleh Web3" — Web3 merupakan lelaran masa depan hipotesis internet yang dibina di sekitar teknologi blockchain.

Nomad ialah apa yang dikenali sebagai "jambatan", alat yang membolehkan pengguna bertukar token dan maklumat antara rangkaian crypto yang berbeza. Mereka digunakan sebagai alternatif untuk membuat transaksi secara langsung pada blockchain seperti Ethereum, yang boleh mengenakan bayaran pemprosesan yang tinggi kepada pengguna apabila terdapat banyak aktiviti yang berlaku serentak.

Contoh kelemahan dan reka bentuk yang buruk telah menjadikan jambatan sebagai sasaran utama untuk penggodam yang ingin menipu pelabur daripada berjuta-juta. Lebih daripada $1 bilion aset kripto telah dicuri melalui eksploitasi jambatan setakat ini pada 2022, menurut laporan daripada firma pematuhan kripto Elliptic.

Pada bulan April, jambatan blockchain yang dipanggil Ronin telah dieksploitasi dalam a $600 juta pencurian kripto, yang mana pegawai AS sejak itu dikaitkan dengan negara Korea Utara itu. Beberapa bulan kemudian, Harmony, jambatan lain, telah dihabiskan sebanyak $100 juta dalam serangan serupa.

Seperti Ronin dan Harmony, Nomad disasarkan melalui kecacatan dalam kodnya — tetapi terdapat sedikit perbezaan. Dengan serangan tersebut, penggodam dapat mendapatkan semula kunci peribadi yang diperlukan untuk mendapatkan kawalan ke atas rangkaian dan mula mengalih keluar token. Dalam kes Nomad, ia lebih mudah daripada itu. Kemas kini rutin kepada jambatan membolehkan pengguna memalsukan urus niaga dan menggunakan kripto bernilai berjuta-juta.