Nomad Bridge пацярпеў рэйд на 190 мільёнаў долараў

Кросланцуговы мост Nomad Bridge стаў галоўнай мішэнню хакераў і... марадзёраў, і бог ведае чаго яшчэ...

Nomad Bridge, пратакол, які забяспечвае ўзаемадзеянне паміж рознымі блокчейнами, быў узламаны на гэтым тыдні. Хакеры скарысталіся ўразлівасцямі моста і выкраў актывы больш чым на 190 мільёнаў долараў.

Актывы, якія пацярпелі ў выніку інцыдэнту, ўключаюць WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL і C3. Nomad - наступнае імя, якое далучыцца да спісу няўдачлівых мастоў, якія падвяргаюцца сур'ёзным нападам пасля Axie Infinity і Horizon.

Nomad Bridge пацярпеў - у вялікай ступені

Першая падазроная транзакцыя была зроблена 2 жніўня, калі хакеры паспрабавалі перавесці 100 Wrapped Bitcoin (WBTC), эквівалентныя 2.3 мільёна долараў з моста.

Выявіўшы праблему з магчымымі далейшымі эксплойтамі, апартуністы скарысталіся шчылінай, паўтарылі інфармацыю аб транзакцыях хакера, змянілі зыходны адрас на свае адрасы і паспяхова знялі грошы.

Гэты эксплойт лёгка паўтарыць, што тлумачыць, чаму гэта самая хуткая і хаатычная атака.

Любы ўдзельнік Discord праекта можа проста скапіяваць першую транзакцыю зламысніка і змяніць адрас, затым націснуць «Адправіць праз Etherscan», і яны выпадковым чынам атрымаюць тысячы долараў за txid.

Як гэта магло здарыцца?

Паколькі інцыдэнт яшчэ расследуецца, узламаны праект не даў ніякіх дадатковых тлумачэнняў. Аднак некаторыя даследчыкі крыптаграфіі і эксперты далі жыццяздольныя адказы.

Дзікі захад фінансаў

Па словах даследчыка Paradigm Сэма Сана, уразлівасць звязана з іншай памылкай, выяўленай і паведамленай у Nomad падраздзяленнем аўдыту смарт-кантрактаў Quantstamp у пачатку чэрвеня.

Праект вырашаў іншую праблему, але ў працэсе гэтага ён быў зменены на root 0x000…, што прывяло да наступстваў, якія адбыліся.

Кожная транзакцыя будзе праходзіць этап праверкі (праверкі), каб пераканацца, што яна сапраўдная. І хоць Root неабходны для гэтай праверкі, распрацоўшчык пакінуў яго на 0x00, і гэты ідэнтыфікацыйны код Root аўтаматычна гарантуе, што ўсе транзакцыі сапраўдныя.

Каманда Nomad выпусціла папярэджанні аб падзеі, звязанай з мостам токенаў Nomad, неўзабаве пасля таго, як даведалася пра гэта.

Мост Nomad быў спынены пасля нападу, паведамляецца ў афіцыйнай тэме Nomad у Twitter. Каманда заявіла, што яны працуюць з праваахоўнымі органамі для далейшага расследавання падзеі.

Для дасціпнасці,

«Нам вядома аб імітацыях, якія выдаюць сябе за Nomad і прадастаўляюць фальшывыя адрасы для збору сродкаў. Мы пакуль не даем інструкцый па вяртанні брыджавых сродкаў. Не звяртайце ўвагі на паведамленні з усіх каналаў, акрамя афіцыйнага канала Nomad: @nomadxyz_.»

Nomad - выдатная ідэя

Nomad - гэта мост, які дазваляе перадаваць токены паміж рознымі блокчейнами, такімі як Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 і Moonbeam (GLMR), праз сістэму абмену паведамленнямі Nomad.

Пратакол мае шырокі спектр прымянення і можа выкарыстоўвацца для распрацоўкі міжланцуговых прыкладанняў.

Нядаўна кампанія Nomad паведаміла, што ў красавіку яна паспяхова прыцягнула 22 мільёны долараў ад вядучых кампаній галіны, у тым ліку Coinbase Ventures, OpenSea і пяці іншых буйных гульцоў у рамках стартавага фінансавання пад кіраўніцтвам Polychain. Фінансаванне перавысіла ацэнку кампаніі ў 225 мільёнаў долараў.

У параўнанні з атакамі на перакрыжаваныя ланцуговыя масты ў 2021 годзе, гэтыя атакі ў гэтым годзе нанеслі сур'ёзны ўрон самому праекту, венчурным капіталам і праектам, звязаным з мастамі, з-за асаблівасцяў злучэння перакрыжаваных ланцужных мостаў.

Той факт, што блокчейн дэцэнтралізаваны, палягчае абарону. Але ўсе пратаколы і праграмнае забеспячэнне былі створаны людзьмі, таму, магчыма, ёсць недахопы.

Нядаўнія атакі на самай справе не накіраваны на саму платформу блокчейн. Замест гэтага яны накіраваны на прыкладанні як гульні, кашалькі, абмены, і масты.

Гэта вэб-і мабільныя прыкладанні, якія выкарыстоўваюць блокчейн, але яны па-ранейшаму маюць тыя ж недахопы бяспекі, што і традыцыйнае праграмнае забеспячэнне, таму што яны ўсё яшчэ з'яўляюцца вэб-праграмамі і мабільнымі праграмамі.

З пачатку года былі ўзламаныя чатыры крос-ланцужныя масты, у тым ліку Wormhole, Ronin, Horizon і Nomad. Ніхто не мае страт менш за 100 мільёнаў долараў.

Cross-chain Bridge палепшыў узаемадзеянне блокчейна, што прывяло да лепшага вопыту для карыстальнікаў і распрацоўшчыкаў блокчейна. Аднак з-за асаблівай уразлівасці гэтыя масты ў апошні час сталі папулярнай мішэнню для зламыснікаў.