- Nomad-hendelsen er årets tredje største kryptovaluta-hack, bak Wormhole og Ronin
- Rundt 41 adresser hentet kryptovaluta fra protokollen
Token bridge Nomad har lidd av en "frenzied free-for-all" etter at angripere raidet protokollen for mer enn $190 millioner i kryptovaluta.
Nomad, som markedsførte seg selv som en "sikkerhet-først"-plattform for å sende ERC-20-tokens mellom kompatible blokkjeder, bekreftet raidet i en tweet tirsdag morgen.
Hendelsen skiller seg fra andre storstilte hacks for å lamme token-broer i år. Token-broer gjør det mulig for kryptobrukere å portere digitale eiendeler over nettverk ved først å låse dem inne i en smart kontrakt.
Broen utsteder deretter et derivattoken, en "innpakket aktiva", på den andre siden, med verdiene støttet av de opprinnelige innskuddene. Nomad støtter Ethereum, Avalanche, Evmos og Moonbeam.
Februars Wormhole-hack så angripere utnytte buggy smart kontraktskode for å lage seg $320 millioner i Wrapped Ether uten å legge ut den nødvendige sikkerheten.
Axie Infinite Ronin-broangrepet, som ble avslørt i mars, involverte en måneder lang phishing-kampanje for å skaffe private nøkler knyttet til multisig-lommeboken, noe som resulterte i stjålet 625 millioner dollar i krypto (begge hendelser verdsatt på tidspunktet for angrepet).
Men Sam Sun, sikkerhetssjef i investeringsselskapet Paradigm, forklarte i en Twitter-tråd at Nomads tyver ikke trengte å vite noe om Ethereum-programmeringsspråket Solidity for å klare seg med brukersikkerhet.
Rari Capital-hackeren kom tilbake for å raide Nomad
Nomads utviklere hadde ved et uhell presset på en rutineoppgradering som fortalte protokollen å behandle enhver transaksjon med standard root-hash på "0x00", der blokkjedenettverk vanligvis krever en unik og spesifikk rot som bevis på at transaksjonen er gyldig.
Dette betydde at Nomad effektivt ville godkjenne enhver transaksjon som ble sendt til protokollen. Etter at en angriper innså og startet store ulovlige overføringer, kopierte andre brukere ganske enkelt transaksjonsskriptet sitt og erstattet mottakeradressen med sin egen, forklarte Victor Young, sjefsarkitekt ved interoperabilitetsnettverket Analog.
For Young er en viktig fordel med smarte kontraktsplattformer, som de som driver Nomad, at de er Turing-komplette systemer. De kan beregne "nesten alt en moderne digital datamaskin kan gjøre fra et matematisk ståsted," sa Young.
"Dessverre introduserer dette utallige og ukjente angrepsvektorer som åpner den smarte kontrakten for hacks," sa Young til Blockworks. "Når du kombinerer dette med slappe utviklere som ikke klarer å implementere et robust sett med testmekanismer, får du den latterlige sammenbruddet vi er vitne til for øyeblikket."
Kilde: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/