- תקרית הנומאד היא פריצת מטבעות הקריפטו השלישית בגודלה של השנה, אחרי חור תולעת ורונין
- בסביבות 41 כתובות נטלו מטבעות קריפטוגרפיים מהפרוטוקול
גשר האסימונים Nomad סבל מ"חופשי מטורף" לאחר שתוקפים פשטו על הפרוטוקול עבור יותר מ-190 מיליון דולר במטבע קריפטוגרפי.
Nomad, ששיווקה את עצמה כפלטפורמת "אבטחה ראשונה" לשליחת אסימוני ERC-20 בין בלוקצ'יין תואמים, אישרה את הפשיטה בציוץ של יום שלישי בבוקר.
התקרית שונה מפריצות אחרות בקנה מידה גדול לגשרים אסימונים נכים השנה. גשרי אסימונים מאפשרים למשתמשי קריפטו להעביר נכסים דיגיטליים דרך רשתות על ידי נעילתם תחילה בתוך חוזה חכם.
לאחר מכן, הגשר מנפיק אסימון נגזר, "נכס עטוף", בצד השני, כאשר ערכיו מגובים בהפקדות המקוריות שלהם. Nomad תומך ב-Ethereum, Avalanche, Evmos ו-Moonbeam.
פריצת חור התולעת של פברואר ראתה תוקפים מנצלים קוד חוזה חכם באגי כדי להטביע לעצמם 320 מיליון דולר ב-Wrapped Ether מבלי לפרסם את הבטחונות הנדרשים.
מתקפת גשר Axie Infinite Ronin, שנחשפה במרץ, כללה מסע פישינג של חודשים לרכישת מפתחות פרטיים הקשורים לארנק ה-multisig שלה, שהביא לגניבת קריפטו של כ-625 מיליון דולר (שתי התקריות מוערכות בזמן התקיפה).
אבל סם סאן, ראש אגף האבטחה בחברת ההשקעות בנכסים דיגיטליים Paradigm, הסביר בשרשור בטוויטר שהגנבים של Nomad לא היו צריכים לדעת דבר על שפת התכנות Ethereum Solidity כדי להסתדר עם בטחונות משתמשים.
האקר Rari Capital חזר לפשוט על Nomad
המפתחים של Nomad דחפו בטעות שדרוג שגרתי שאומר לפרוטוקול לעבד כל עסקה עם ברירת המחדל של ה-root hash של "0x00", כאשר בדרך כלל רשתות בלוקצ'יין דורשות שורש ייחודי וספציפי כהוכחה לכך שהעסקה תקפה.
המשמעות היא ש-Nomad יאשר למעשה כל עסקה שתוגש לפרוטוקול. לאחר שתוקף הבין ויזם העברות לא חוקיות גדולות, משתמשים אחרים פשוט העתיקו והדביקו את סקריפט העסקאות שלהם והחליפו את כתובת המקלט בכתובת שלהם, הסביר ויקטור יאנג, ארכיטקט ראשי ברשת ההדדיות Analog.
בעיני יאנג, יתרון מרכזי של פלטפורמות חוזים חכמים, כמו אלו שמניעות את Nomad, הוא היותם מערכות שלמות של טיורינג. הם יכולים לחשב "כמעט כל מה שמחשב דיגיטלי מודרני יכול לעשות מנקודת מבט מתמטית", אמר יאנג.
"למרבה הצער, זה מציג אינספור וקטורי התקפה בלתי ידועים שפותחים את החוזה החכם לפריצות", אמר יאנג ל-Blockworks. "כאשר אתה משלב את זה עם מפתחים רופפים שלא מצליחים ליישם מערך חזק של מנגנוני בדיקה, אתה מקבל את ההתמוטטות המגוחכת שאנו עדים לה כעת."
מקור: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/