- Nomad ინციდენტი არის წლის სიდიდით მესამე კრიპტოვალუტის ჰაკი, Wormhole-ისა და Ronin-ის შემდეგ.
- დაახლოებით 41 მისამართმა ამოიღო კრიპტოვალუტა პროტოკოლიდან
Token Bridge Nomad-მა განიცადა „გაბრაზებული უფასო ყველასათვის“ მას შემდეგ, რაც თავდამსხმელებმა პროტოკოლი 190 მილიონ დოლარზე მეტი კრიპტოვალუტით დაარბიეს.
Nomad-მა, რომელიც თავს „უსაფრთხოების პირველ“ პლატფორმად აქვეყნებდა თავსებადი ბლოკჩეინებს შორის ERC-20 ტოკენების გაგზავნისთვის, დაადასტურა დარბევა სამშაბათს დილის ტვიტერში.
ინციდენტი განსხვავდება სხვა ფართომასშტაბიანი ჰაკერებისგან, რომლებიც აფერხებენ ხიდების ამ წელს. ტოკენის ხიდები საშუალებას აძლევს კრიპტო-მომხმარებლებს ციფრული აქტივების პორტირება ქსელებში, ჯერ მათი ჭკვიან კონტრაქტში ჩაკეტვით.
შემდეგ ხიდი გასცემს დერივატიულ ჟეტონს, „შეფუთულ აქტივს“, მეორე მხარეს, მათი ღირებულებებით დამყარებული ორიგინალური დეპოზიტებით. Nomad მხარს უჭერს Ethereum, Avalanche, Evmos და Moonbeam.
თებერვლის Wormhole-ის ჰაკერმა აჩვენა, რომ თავდამსხმელებმა გამოიყენეს buggy ჭკვიანი კონტრაქტის კოდი, რათა შეაგროვონ $320 მილიონი დოლარი Wrapped Ether-ში საჭირო გირაოს გამოქვეყნების გარეშე.
Axie Infinite Ronin ხიდზე თავდასხმა, რომელიც მარტში გამჟღავნდა, მოიცავდა ერთთვიან ფიშინგ კამპანიას მის მულტიზიგ საფულესთან დაკავშირებული პირადი გასაღებების შესაძენად, რამაც გამოიწვია დაახლოებით 625 მილიონი დოლარის კრიპტო მოპარვა (ორივე ინციდენტი შეფასებული იყო თავდასხმის დროს).
მაგრამ სემ სუნმა, ციფრული აქტივების საინვესტიციო ფირმის Paradigm-ის უსაფრთხოების ხელმძღვანელმა, Twitter-ის თემაში განმარტა, რომ Nomad-ის ქურდებს არ სჭირდებოდათ რაიმე იცოდნენ Ethereum პროგრამირების ენის Solidity-ის შესახებ, რათა გაეთავისუფლებინათ მომხმარებლის გირაო.
Rari Capital ჰაკერი დაბრუნდა Nomad-ის დარბევისთვის
Nomad-ის დეველოპერებმა შემთხვევით განახორციელეს რუტინული განახლება, რომელიც ეუბნებოდა პროტოკოლს, დაემუშავებინა ნებისმიერი ტრანზაქცია ნაგულისხმევი root ჰეშით „0x00“, სადაც ჩვეულებრივ ბლოკჩეინის ქსელები საჭიროებენ უნიკალურ და სპეციფიკურ root-ს, როგორც ტრანზაქციის მართებულობის დადასტურებას.
ეს ნიშნავს, რომ Nomad ეფექტურად დაამტკიცებდა პროტოკოლში წარდგენილ ნებისმიერ ტრანზაქციას. მას შემდეგ, რაც თავდამსხმელმა გააცნობიერა და წამოიწყო დიდი უკანონო გადარიცხვები, სხვა მომხმარებლებმა უბრალოდ დააკოპირეს თავიანთი ტრანზაქციის სკრიპტი და შეცვალეს მიმღების მისამართი თავისით, განმარტა ვიქტორ იანგმა, თავსებადობის ქსელის Analog-ის მთავარმა არქიტექტორმა.
იანგისთვის, ჭკვიანი კონტრაქტის პლატფორმების მთავარი უპირატესობა, როგორიცაა Nomad-ის გაძლიერება, არის ის, რომ ისინი ტურინგის სრული სისტემებია. მათ შეუძლიათ გამოთვალონ "ფაქტობრივად ყველაფერი, რაც თანამედროვე ციფრულ კომპიუტერს შეუძლია მათემატიკური თვალსაზრისით", - თქვა იანგმა.
”სამწუხაროდ, ეს შემოაქვს უთვალავი და უცნობი თავდასხმის ვექტორებს, რომლებიც ხსნიან ჭკვიან კონტრაქტს ჰაკერებისთვის,” - განუცხადა იანგმა Blockworks-ს. ”როდესაც ამას აერთიანებთ დეფექტურ დეველოპერებთან, რომლებიც ვერ ახორციელებენ ტესტირების მექანიზმების მძლავრ კომპლექტს, თქვენ მიიღებთ სასაცილო დნობას, რომლის მომსწრენი ვართ ამჟამად.”
წყარო: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/