- Insiden Nomad ialah penggodaman mata wang kripto terbesar ketiga tahun ini, di belakang Wormhole dan Ronin
- Sekitar 41 alamat menyedut mata wang kripto daripada protokol
Token bridge Nomad telah mengalami "free-for-all" selepas penyerang menyerbu protokol untuk lebih daripada $190 juta dalam mata wang kripto.
Nomad, yang memasarkan dirinya sebagai platform "utamakan keselamatan" untuk menghantar token ERC-20 antara blok blok yang serasi, mengesahkan serbuan itu dalam tweet pagi Selasa.
Insiden itu berbeza daripada penggodaman berskala besar lain untuk melumpuhkan jambatan token tahun ini. Jambatan token membolehkan pengguna kripto mengalihkan aset digital melalui rangkaian dengan terlebih dahulu menguncinya di dalam kontrak pintar.
Jambatan itu kemudian mengeluarkan token derivatif, "aset terbungkus", di sisi lain, dengan nilainya disokong oleh deposit asalnya. Nomad menyokong Ethereum, Avalanche, Evmos dan Moonbeam.
Penggodam Wormhole Februari menyaksikan penyerang mengeksploitasi kod kontrak pintar buggy untuk menghasilkan $320 juta dalam Wrapped Ether tanpa menghantar cagaran yang diperlukan.
Serangan jambatan Axie Infinite Ronin, yang didedahkan pada bulan Mac, melibatkan kempen pancingan data selama berbulan-bulan untuk memperoleh kunci peribadi yang dikaitkan dengan dompet multisignya, yang mengakibatkan kira-kira $625 juta dalam crypto dicuri (kedua-dua insiden bernilai pada masa serangan).
Tetapi Sam Sun, ketua keselamatan di firma pelaburan aset digital Paradigm, menjelaskan dalam benang Twitter bahawa pencuri Nomad tidak perlu mengetahui apa-apa tentang bahasa pengaturcaraan Ethereum Solidity untuk melepaskan cagaran pengguna.
Penggodam Rari Capital kembali menyerang Nomad
Pembangun Nomad secara tidak sengaja telah menolak peningkatan rutin yang memberitahu protokol untuk memproses sebarang transaksi dengan cincang akar lalai "0x00," di mana biasanya rangkaian blockchain memerlukan akar yang unik dan khusus sebagai bukti bahawa transaksi itu sah.
Ini bermakna Nomad akan meluluskan sebarang transaksi yang diserahkan kepada protokol dengan berkesan. Selepas penyerang menyedari dan memulakan pemindahan haram yang besar, pengguna lain hanya menyalin-tampal skrip transaksi mereka dan menggantikan alamat penerima dengan alamat mereka sendiri, jelas Victor Young, ketua arkitek di rangkaian kebolehoperasian Analog.
Kepada Young, kelebihan utama platform kontrak pintar, seperti yang menjana kuasa Nomad, ialah ia adalah sistem lengkap Turing. Mereka boleh mengira "hampir semua yang komputer digital moden boleh lakukan dari sudut matematik," kata Young.
"Malangnya, ini memperkenalkan vektor serangan yang tidak terkira banyaknya dan tidak diketahui yang membuka kontrak pintar kepada penggodaman," kata Young kepada Blockworks. "Apabila anda menggabungkan ini dengan pembangun lemah yang gagal melaksanakan set mekanisme ujian yang mantap, anda akan mendapat kemelut yang tidak masuk akal yang kami saksikan sekarang."
Young menetapkan ujian hujung ke hujung platform blockchain lain dan audit kod berulang untuk membantu mengurangkan risiko perkara ini berlaku di tempat lain.
Firma keselamatan rantaian blok PeckShield dilaporkan kira-kira 41 alamat telah menyerbu Nomad, campuran Wrapped Bitcoin dan Wrapped Ether bersama stablecoin DAI dan USDC.
Terutama, alamat yang sama dikaitkan dengan Rari Capital hack pada akhir April dikatakan telah merompak $3.4 juta dalam mata wang kripto. Kurang daripada $12,000 kekal dalam kontrak pintar Nomad, turun daripada lebih $190 juta sebelum serbuan, setiap DeFi Llama.
Insiden Nomad kini merupakan hack ketiga terbesar tahun ini, di belakang Wormhole dan Ronin. Tidak jelas apa yang seterusnya untuk firma itu.
Kedua-dua pasukan Wormhole dan Axie Infinite mengumpul modal teroka dalam usaha untuk menjadikan kedua-dua pengguna dan protokol mereka utuh berikutan penggodaman masing-masing. Blockworks telah menghubungi Nomad untuk mengetahui lebih lanjut tentang rancangan mereka.
Dapatkan berita dan cerapan crypto popular hari ini dihantar ke peti masuk anda setiap petang. Langgan surat berita percuma Blockworks sekarang.
Sumber: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/