האנוסים

האקרים גוזלים כמעט 200 מיליון דולר מסטארט-אפ הקריפטו Nomad

08/02/2022
חדשות Ethereum של ביטקוין

מיליארדי דולרים של ערך נמחקו משוק מטבעות הקריפטו בחודשים האחרונים. חברות בתעשייה חשות את הכאב. חברות ההלוואות והמסחר מתמודדות עם משבר נזילות וחברות רבות הודיעו על פיטורים.

יו צ'ון כריסטופר וונג S3studio תמונות של גטי

האקרים גבו כמעט 200 מיליון דולר במטבעות קריפטוגרפיים מ-Nomad, כלי המאפשר למשתמשים להחליף אסימונים מבלוקצ'יין אחד לאחר, במתקפה נוספת המדגישה חולשות במרחב הפיננסי המבוזר.

נומאד הודה בניצול בציוץ בסוף יום שני.

"אנחנו מודעים לתקרית שבה היה מעורב גשר האסימונים של נומד", אמר הסטארט-אפ. "אנחנו כרגע חוקרים ונספק עדכונים כשיהיו לנו אותם."

לא לגמרי ברור כיצד בוצעה המתקפה, או אם נומד מתכנן להחזיר למשתמשים שאיבדו אסימונים בהתקפה. החברה, שמשווקת את עצמה כשירות "מסרים צולבים מאובטחים", לא הייתה זמינה מיד להערה כאשר CNBC יצרה קשר.

מומחי אבטחת בלוקצ'יין תיארו את הניצול כ"חופשי לכולם". כל מי שמכיר את הניצול וכיצד הוא עבד יכול היה לתפוס את הפגם ולמשוך כמות אסימונים מנומד - בערך כמו כספומט שפולט כסף בלחיצת כפתור.

זה התחיל בשדרוג לקוד של Nomad. חלק אחד של הקוד סומן כתקף בכל פעם שמשתמשים החליטו ליזום העברה, מה שאפשר לגנבים למשוך יותר נכסים ממה שהופקדו לפלטפורמה. ברגע שתוקפים אחרים דבקו במתרחש, הם פרסו צבאות של בוטים כדי לבצע התקפות העתקה.

"ללא ניסיון קודם בתכנות, כל משתמש יכול פשוט להעתיק את נתוני קריאת העסקאות המקוריים של התוקפים ולהחליף את הכתובת בכתובת שלהם כדי לנצל את הפרוטוקול", אמר ויקטור יאנג, מייסד וארכיטקט ראשי של סטארט-אפ הקריפטו Analog.

"בניגוד להתקפות קודמות, הפריצה של Nomad הפכה לחופשי-לכולם שבו משתמשים מרובים התחילו לרוקן את הרשת פשוט על ידי הפעלה מחדש של נתוני שיחות העסקאות של התוקפים המקוריים."

סם סאן, שותף מחקר בחברת השקעות ממוקדת קריפטו Paradigm, מְתוּאָר הניצול כ"אחת הפריצות הכי כאוטיות ש-Web3 ראה אי פעם" - Web3 הוא איטרציה עתידית היפותטית של האינטרנט שנבנה סביב טכנולוגיית בלוקצ'יין.

Nomad הוא מה שמכונה "גשר", כלי המאפשר למשתמשים להחליף אסימונים ומידע בין רשתות קריפטו שונות. הם משמשים כחלופה לביצוע עסקאות ישירות בבלוקצ'יין כמו Ethereum, שיכול לגבות מהמשתמשים עמלות עיבוד גבוהות כאשר יש הרבה פעילות שמתרחשת בבת אחת.

מקרים של פגיעות ותכנון לקוי הפכו את הגשרים ליעד מרכזי עבור האקרים המבקשים להוליך משקיעים ממיליונים. יותר ממיליארד דולר בנכסי קריפטו נגנבו באמצעות ניצול גשר עד כה בשנת 1, על פי דו"ח של חברת תאימות הקריפטו אליפטיק.

באפריל נוצל גשר בלוקצ'יין בשם רונין שוד קריפטו של 600 מיליון דולר, שגורמים אמריקאים ייחסו מאז למדינה הצפון קוריאנית. כמה חודשים לאחר מכן, הרמוני, גשר נוסף, ניגר מ-100 מיליון דולר בהתקפה דומה.

כמו רונין והרמוני, נומד היה ממוקד דרך פגם בקוד שלה - אבל היו כמה הבדלים. עם התקפות אלו, האקרים הצליחו לאחזר את המפתחות הפרטיים הדרושים כדי להשיג שליטה על הרשת ולהתחיל להעביר אסימונים. במקרה של נומד, זה היה הרבה יותר פשוט מזה. עדכון שגרתי של הגשר אפשר למשתמשים לזייף עסקאות ולהסתלק עם קריפטו בשווי מיליוני.

מקור: https://www.cnbc.com/2022/08/02/hackers-drain-nearly-200-million-from-crypto-startup-nomad.html