Кросланцуговы мост Nomad Bridge стаў галоўнай мішэнню хакераў і... марадзёраў, і бог ведае чаго яшчэ...
Nomad Bridge, пратакол, які забяспечвае ўзаемадзеянне паміж рознымі блокчейнами, быў узламаны на гэтым тыдні. Хакеры скарысталіся ўразлівасцямі моста і выкраў актывы больш чым на 190 мільёнаў долараў.
Актывы, якія пацярпелі ў выніку інцыдэнту, ўключаюць WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL і C3. Nomad - наступнае імя, якое далучыцца да спісу няўдачлівых мастоў, якія падвяргаюцца сур'ёзным нападам пасля Axie Infinity і Horizon.
Nomad Bridge пацярпеў - у вялікай ступені
Першая падазроная транзакцыя была зроблена 2 жніўня, калі хакеры паспрабавалі перавесці 100 Wrapped Bitcoin (WBTC), эквівалентныя 2.3 мільёна долараў з моста.
Выявіўшы праблему з магчымымі далейшымі эксплойтамі, апартуністы скарысталіся шчылінай, паўтарылі інфармацыю аб транзакцыях хакера, змянілі зыходны адрас на свае адрасы і паспяхова знялі грошы.
Гэты эксплойт лёгка паўтарыць, што тлумачыць, чаму гэта самая хуткая і хаатычная атака.
Любы ўдзельнік Discord праекта можа проста скапіяваць першую транзакцыю зламысніка і змяніць адрас, затым націснуць «Адправіць праз Etherscan», і яны выпадковым чынам атрымаюць тысячы долараў за txid.
Як гэта магло здарыцца?
Паколькі інцыдэнт яшчэ расследуецца, узламаны праект не даў ніякіх дадатковых тлумачэнняў. Аднак некаторыя даследчыкі крыптаграфіі і эксперты далі жыццяздольныя адказы.
Дзікі захад фінансаў
Па словах даследчыка Paradigm Сэма Сана, уразлівасць звязана з іншай памылкай, выяўленай і паведамленай у Nomad падраздзяленнем аўдыту смарт-кантрактаў Quantstamp у пачатку чэрвеня.
Праект вырашаў іншую праблему, але ў працэсе гэтага ён быў зменены на root 0x000…, што прывяло да наступстваў, якія адбыліся.
Кожная транзакцыя будзе праходзіць этап праверкі (праверкі), каб пераканацца, што яна сапраўдная. І хоць Root неабходны для гэтай праверкі, распрацоўшчык пакінуў яго на 0x00, і гэты ідэнтыфікацыйны код Root аўтаматычна гарантуе, што ўсе транзакцыі сапраўдныя.
Каманда Nomad выпусціла папярэджанні аб падзеі, звязанай з мостам токенаў Nomad, неўзабаве пасля таго, як даведалася пра гэта.
Мост Nomad быў спынены пасля нападу, паведамляецца ў афіцыйнай тэме Nomad у Twitter. Каманда заявіла, што яны працуюць з праваахоўнымі органамі для далейшага расследавання падзеі.
Для дасціпнасці,
«Нам вядома аб імітацыях, якія выдаюць сябе за Nomad і прадастаўляюць фальшывыя адрасы для збору сродкаў. Мы пакуль не даем інструкцый па вяртанні брыджавых сродкаў. Не звяртайце ўвагі на паведамленні з усіх каналаў, акрамя афіцыйнага канала Nomad: @nomadxyz_.»
Nomad - выдатная ідэя
Nomad - гэта мост, які дазваляе перадаваць токены паміж рознымі блокчейнами, такімі як Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 і Moonbeam (GLMR), праз сістэму абмену паведамленнямі Nomad.
Пратакол мае шырокі спектр прымянення і можа выкарыстоўвацца для распрацоўкі міжланцуговых прыкладанняў.
Нядаўна кампанія Nomad паведаміла, што ў красавіку яна паспяхова прыцягнула 22 мільёны долараў ад вядучых кампаній галіны, у тым ліку Coinbase Ventures, OpenSea і пяці іншых буйных гульцоў у рамках стартавага фінансавання пад кіраўніцтвам Polychain. Фінансаванне перавысіла ацэнку кампаніі ў 225 мільёнаў долараў.
У параўнанні з атакамі на перакрыжаваныя ланцуговыя масты ў 2021 годзе, гэтыя атакі ў гэтым годзе нанеслі сур'ёзны ўрон самому праекту, венчурным капіталам і праектам, звязаным з мастамі, з-за асаблівасцяў злучэння перакрыжаваных ланцужных мостаў.
Той факт, што блокчейн дэцэнтралізаваны, палягчае абарону. Але ўсе пратаколы і праграмнае забеспячэнне былі створаны людзьмі, таму, магчыма, ёсць недахопы.
Нядаўнія атакі на самай справе не накіраваны на саму платформу блокчейн. Замест гэтага яны накіраваны на прыкладанні як гульні, кашалькі, абмены, і масты.
Гэта вэб-і мабільныя прыкладанні, якія выкарыстоўваюць блокчейн, але яны па-ранейшаму маюць тыя ж недахопы бяспекі, што і традыцыйнае праграмнае забеспячэнне, таму што яны ўсё яшчэ з'яўляюцца вэб-праграмамі і мабільнымі праграмамі.
З пачатку года былі ўзламаныя чатыры крос-ланцужныя масты, у тым ліку Wormhole, Ronin, Horizon і Nomad. Ніхто не мае страт менш за 100 мільёнаў долараў.
Cross-chain Bridge палепшыў узаемадзеянне блокчейна, што прывяло да лепшага вопыту для карыстальнікаў і распрацоўшчыкаў блокчейна. Аднак з-за асаблівай уразлівасці гэтыя масты ў апошні час сталі папулярнай мішэнню для зламыснікаў.
Крыніца: https://blockonomi.com/latest-crypto-hack-nomad-bridge-suffers-190m-raid/