Milliarder av dollar i verdi har blitt tørket ut av kryptovalutamarkedet de siste månedene. Bedrifter i bransjen føler smerten. Utlåns- og handelsselskaper står overfor en likviditetskrise og mange bedrifter har varslet permitteringer.
Yu Chun Christopher Wong | S3studio | Getty bilder
Hackere tappet nesten 200 millioner dollar i kryptovaluta fra Nomad, et verktøy som lar brukere bytte tokens fra en blokkjede til en annen, i nok et angrep som fremhever svakheter i det desentraliserte finansområdet.
Nomad erkjente utnyttelsen i en tweet sent mandag.
"Vi er klar over hendelsen som involverte Nomad token bridge," sa oppstarten. "Vi undersøker for tiden og vil gi oppdateringer når vi har dem."
Det er ikke helt klart hvordan angrepet ble orkestrert, eller om Nomad planlegger å refundere brukere som mistet tokens i angrepet. Selskapet, som markedsfører seg selv som en «sikker meldingstjeneste på tvers av kjeder», var ikke umiddelbart tilgjengelig for kommentarer da de ble kontaktet av CNBC.
Blockchain-sikkerhetseksperter beskrev utnyttelsen som en «gratis for alle». Alle med kunnskap om utnyttelsen og hvordan den fungerte, kunne gripe feilen og ta ut et beløp med tokens fra Nomad - på en måte som en minibank som spyr ut penger ved å trykke på en knapp.
Det startet med en oppgradering til Nomads kode. En del av koden ble merket som gyldig hver gang brukere bestemte seg for å sette i gang en overføring, noe som tillot tyvene å ta ut flere eiendeler enn de ble satt inn på plattformen. Så snart andre angripere ble klar over hva som foregikk, satte de ut hærer av roboter for å utføre kopiangrep.
"Uten tidligere programmeringserfaring kunne enhver bruker ganske enkelt kopiere de opprinnelige angripernes transaksjonsdata og erstatte adressen med deres for å utnytte protokollen," sa Victor Young, grunnlegger og sjefsarkitekt for krypto-oppstart Analog.
"I motsetning til tidligere angrep, ble Nomad-hacket en gratis-for-alle hvor flere brukere begynte å tømme nettverket ved ganske enkelt å spille av de opprinnelige angripernes transaksjonsanropsdata."
Sam Sun, forskningspartner i det kryptofokuserte investeringsselskapet Paradigm, beskrevet utnyttelsen som "en av de mest kaotiske hackene som Web3 noensinne har sett" - Web3 er en hypotetisk fremtidig iterasjon av internett bygget rundt blockchain-teknologi.
Nomad er det som er kjent som en "bro", et verktøy som lar brukere utveksle tokens og informasjon mellom forskjellige kryptonettverk. De brukes som et alternativ til å gjøre transaksjoner direkte på en blokkjede som Ethereum, som kan belaste brukere med høye behandlingsgebyrer når det skjer mye aktivitet på en gang.
Forekomster av sårbarheter og dårlig design har gjort broer til et hovedmål for hackere som prøver å svindle investorer ut av millioner. Mer enn 1 milliard dollar i kryptoeiendeler har blitt stjålet gjennom broutnyttelser så langt i 2022, ifølge en rapport fra kryptooverholdelsesfirmaet Elliptic.
I april ble en blokkjedebro kalt Ronin utnyttet i en 600 millioner dollar kryptoran, som amerikanske tjenestemenn siden har tilskrevet den nordkoreanske staten. Noen måneder senere ble Harmony, en annen bro, tappet for 100 millioner dollar i et lignende angrep.
Som Ronin og Harmony, ble Nomad målrettet gjennom en feil i koden - men det var noen få forskjeller. Med disse angrepene var hackere i stand til å hente de private nøklene som trengs for å få kontroll over nettverket og begynne å flytte ut tokens. I Nomads tilfelle var det mye enklere enn som så. En rutinemessig oppdatering av broen gjorde det mulig for brukere å forfalske transaksjoner og komme seg unna med kryptoverdier for millioner.
Kilde: https://www.cnbc.com/2022/08/02/hackers-drain-nearly-200-million-from-crypto-startup-nomad.html