Мільярды долараў кошту былі знішчаны з рынку криптовалют за апошнія месяцы. Кампаніі галіны адчуваюць боль. Крэдытныя і гандлёвыя фірмы сутыкнуліся з крызісам ліквіднасці, і многія фірмы аб'явілі аб звальненні.
Ю Чунь Крыстафер Вонг | S3studio | Getty Images
Хакеры выцягнулі амаль 200 мільёнаў долараў у криптовалюте з Nomad, інструмента, які дазваляе карыстальнікам мяняць токены з аднаго блокчейна на іншы, у чарговай атацы, якая падкрэслівае слабыя месцы ў дэцэнтралізаванай фінансавай прасторы.
Nomad прызнаў эксплойт у твітэры ўвечары ў панядзелак.
«Нам вядома пра інцыдэнт з мостам токенаў Nomad», — заявілі ў стартапе. «У цяперашні час мы расследуем і будзем прадастаўляць абнаўленні, калі мы іх атрымаем».
Не зусім ясна, як была арганізавана атака, ці плануе Nomad кампенсаваць карыстальнікам, якія страцілі токены падчас атакі. Кампанія, якая прадастаўляе сябе як сэрвіс «бяспечнага абмену паведамленнямі паміж ланцужкамі», не была адразу даступная для каментароў, калі звязалася з CNBC.
Эксперты па бяспецы блокчейна назвалі эксплойт «бясплатным для ўсіх». Любы, хто ведае пра эксплойт і пра тое, як ён працуе, можа скарыстацца недахопам і зняць колькасць токенаў з Nomad — накшталт банкамата, які выкідвае грошы адным націскам кнопкі.
Усё пачалося з абнаўлення кода Nomad. Адна частка кода пазначалася як сапраўдная кожны раз, калі карыстальнікі вырашалі ініцыяваць перадачу, што дазваляла злодзеям вывесці больш актываў, чым было ўнесена на платформу. Як толькі іншыя зламыснікі даведаліся, што адбываецца, яны разгарнулі арміі ботаў для выканання імітацыйных нападаў.
«Без папярэдняга вопыту праграмавання любы карыстальнік можа проста скапіяваць арыгінальныя даныя транзакцыі зламыснікаў і замяніць адрас сваім, каб выкарыстоўваць пратакол», — сказаў Віктар Янг, заснавальнік і галоўны архітэктар крыпта-стартапа Analog.
«У адрозненне ад папярэдніх нападаў, узлом Nomad стаў бясплатным для ўсіх, калі некалькі карыстальнікаў пачыналі разгружаць сетку, проста прайграваючы зыходныя даныя транзакцыйных выклікаў зламыснікаў».
Сэм Сан, партнёр па даследаваннях інвестыцыйнай кампаніі Paradigm, арыентаванай на крыптаграфію, апісана эксплойт як «адзін з самых хаатычных узломаў, якія калі-небудзь бачыў Web3» — Web3 з'яўляецца гіпатэтычнай будучай ітэрацыяй Інтэрнэту, пабудаванай вакол тэхналогіі блокчейн.
Nomad - гэта тое, што вядома як «мост», інструмент, які дазваляе карыстальнікам абменьвацца токенамі і інфармацыяй паміж рознымі крыптасеткамі. Яны выкарыстоўваюцца ў якасці альтэрнатывы правядзенню транзакцый непасрэдна ў блокчейне, напрыклад Эфириума, які можа спаганяць з карыстальнікаў высокую плату за апрацоўку, калі адначасова адбываецца шмат дзеянняў.
Выпадкі ўразлівасці і дрэннага дызайну зрабілі масты галоўнай мішэнню для хакераў, якія імкнуцца ашукаць мільёны інвестараў. Згодна са справаздачай фірмы Elliptic, якая займаецца крыптаадпаведнасцю, у 1 годзе ў выніку брыдж-эксплойтаў было выкрадзена больш за 2022 мільярд долараў крыпта-актываў.
У красавіку ў а Крадзеж крыпта на 600 мільёнаў долараў, які з тых часоў афіцыйныя асобы ЗША прыпісалі паўночнакарэйскай дзяржаве. Некалькі месяцаў праз яшчэ адзін мост Harmony быў вычарпаны на 100 мільёнаў долараў у выніку падобнай атакі.
Як і Ronin і Harmony, Nomad быў мішэнню з-за недахопу ў кодзе - але было некалькі адрозненняў. З дапамогай гэтых нападаў хакеры змаглі атрымаць закрытыя ключы, неабходныя для кантролю над сеткай і пачаць перамяшчэнне токенаў. У выпадку з Nomad усё было значна прасцей. Звычайнае абнаўленне моста дазволіла карыстальнікам здзяйсняць транзакцыі і атрымліваць мільённыя грошы.
Крыніца: https://www.cnbc.com/2022/08/02/hackers-drain-nearly-200-million-from-crypto-startup-nomad.html