גשר חוצה שרשרת נומד גשר הפך למטרה העיקרית של האקרים ו...בוזזים, ואלוהים יודע מה עוד...
Nomad Bridge, פרוטוקול המאפשר אינטראקציות בין בלוקצ'יין שונים, נפרץ השבוע. האקרים ניצלו את נקודות התורפה של הגשר וגנב נכסים של יותר מ-190 מיליון דולר.
הנכסים שהושפעו בתקרית כוללים WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL ו-C3. Nomad הוא השם הבא שמצטרף לרשימת הגשרים חסרי המזל תחת התקפות גדולות בעקבות Axie Infinity ואופק.
Nomad Bridge Got Hit - בגדול
העסקה החשודה הראשונה בוצעה ב-2 באוגוסט, כאשר האקרים ניסו להעביר מהגשר 100 ביטקוין עטוף (WBTC) שווה ערך ל-2.3 מיליון דולר.
עם גילוי הבעיה לגבי ניצולים אפשריים נוספים, אופורטוניסטים ניצלו את הפרצה, שיכפלו את פרטי העסקאות של ההאקר, שינו את הכתובת המקורית לכתובות שלהם ומשכו כסף בהצלחה.
קל לשכפל את ניצול הזמן הזה, מה שמסביר מדוע זוהי ההתקפה המהירה והכאוטית ביותר.
כל מי שנמצא בדיסקורד של הפרויקט יכול פשוט להעתיק את העסקה הראשונה של התוקף ולשנות את הכתובת, ואז ללחוץ על שלח דרך Etherscan, הם יקבלו באקראי אלף דולר לכל txid.
איך זה יכול לקרות בכלל?
מאחר שהאירוע עדיין נחקר, הפרויקט הפרוץ לא סיפק הסבר נוסף. עם זאת, כמה חוקרי קריפטו ומומחים ציינו תשובות ברות קיימא.
המערב הפרוע של האוצר
לפי חוקר הפרדיגמה סם סאן, הפגיעות נובעת מבאג נוסף שהתגלה ודווח לנומאד על ידי יחידת ביקורת החוזים החכמים Quantstamp בתחילת יוני.
הפרויקט טיפל בבעיה האחרת, אך תוך כדי כך הוא השתנה ל-root 0x000…, וכתוצאה מכך התרחשו ההשלכות.
כל עסקה תעבור שלב אימות (אימות) כדי לוודא שהיא תקפה. ובעוד ש-Root נחוץ לאימות זה, המפתח כאן השאיר אותו ב-0x00, וקוד זיהוי השורש הזה מבטיח אוטומטית שכל העסקאות תקפות.
צוות Nomad פרסם אזהרות לגבי האירוע הקשור לגשר האסימונים של Nomad זמן לא רב לאחר שנודע על כך.
גשר Nomad נסגר בעקבות התקיפה, על פי שרשור הטוויטר הרשמי של Nomad. הצוות הצהיר כי הם עובדים עם רשויות אכיפת החוק כדי להמשיך ולחקור את האירוע.
לֵאמוֹר,
"אנו מודעים למתחזים שמתחזות לנומאד ומספקים כתובות הונאה לאיסוף כספים. אנחנו עדיין לא מספקים הנחיות להחזרת כספי גישור. התעלם מהודעות מכל הערוצים מלבד הערוץ הרשמי של Nomad: @nomadxyz_."
נומד הוא רעיון נהדר
Nomad הוא גשר המאפשר העברת אסימונים בין בלוקצ'יין שונים כגון Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1, ו-Moonbeam (GLMR) דרך מערכת ההודעות של Nomad.
לפרוטוקול מגוון רחב של אפשרויות יישום וניתן להשתמש בו לפיתוח אפליקציות צולבות שרשרת.
Nomad חשפה לאחרונה שהיא גייסה בהצלחה 22 מיליון דולר מדמויות מובילות בתעשייה, כולל Coinbase Ventures, OpenSea וחמישה שחקנים גדולים נוספים במימון ראשוני בהובלת Polychain באפריל. המימון עלה על שווי החברה ל-225 מיליון דולר.
בהשוואה להתקפות נגד גשרים צולבים ב-2021, התקפות אלו גרמו השנה נזק חמור לפרויקט עצמו, לחברות הון סיכון ולפרויקטים הקשורים לגשרים בגלל אופי הקישוריות של גשר צולב שרשרת.
העובדה שהבלוקצ'יין מבוזר מקלה על ההגנה. אבל הפרוטוקולים והתוכנות יוצרו כולם על ידי אנשים, אז ייתכן שיש חולשות.
ההתקפות האחרונות לא באמת מכוונות לפלטפורמת הבלוקצ'יין עצמה. במקום זאת, הם מכוונים ליישומים כמו משחקים, ארנקים, חילופי, וגשרים.
אלו הן אפליקציות אינטרנט ולנייד שמשתמשות בבלוקצ'יין, אבל עדיין יש להן את אותם פגמי אבטחה כמו תוכנות מסורתיות מכיוון שהן עדיין אפליקציות אינטרנט ולנייד.
מתחילת השנה נפרצו ארבעה גשרים צולבים, ביניהם חור תולעת, רונין, אופק ונומד. לאף אחד אין הפסד של פחות מ-100 מיליון דולר.
Cross-chain Bridge שיפר את יכולת הפעולה ההדדית של blockchain, וכתוצאה מכך חוויה טובה יותר עבור משתמשי ומפתחי blockchain. עם זאת, בשל נקודות תורפה ספציפיות, גשרים אלו היוו לאחרונה יעד פופולרי עבור תוקפים.
מקור: https://blockonomi.com/latest-crypto-hack-nomad-bridge-suffers-190m-raid/