טק

Nomad Token Bridge פשט על 190 מיליון דולר ב-"Frenzied Free-For-All"

08/02/2022
חדשות Ethereum של ביטקוין
  • תקרית הנומאד היא פריצת מטבעות הקריפטו השלישית בגודלה של השנה, אחרי חור תולעת ורונין
  • בסביבות 41 כתובות נטלו מטבעות קריפטוגרפיים מהפרוטוקול

גשר האסימונים Nomad סבל מ"חופשי מטורף" לאחר שתוקפים פשטו על הפרוטוקול עבור יותר מ-190 מיליון דולר במטבע קריפטוגרפי.

Nomad, ששיווקה את עצמה כפלטפורמת "אבטחה ראשונה" לשליחת אסימוני ERC-20 בין בלוקצ'יין תואמים, אישרה את הפשיטה בציוץ של יום שלישי בבוקר.

התקרית שונה מפריצות אחרות בקנה מידה גדול לגשרים אסימונים נכים השנה. גשרי אסימונים מאפשרים למשתמשי קריפטו להעביר נכסים דיגיטליים דרך רשתות על ידי נעילתם תחילה בתוך חוזה חכם. 

לאחר מכן, הגשר מנפיק אסימון נגזר, "נכס עטוף", בצד השני, כאשר ערכיו מגובים בהפקדות המקוריות שלהם. Nomad תומך ב-Ethereum, Avalanche, Evmos ו-Moonbeam.

פריצת חור התולעת של פברואר ראתה תוקפים מנצלים קוד חוזה חכם באגי כדי להטביע לעצמם 320 מיליון דולר ב-Wrapped Ether מבלי לפרסם את הבטחונות הנדרשים. 

תמונה

מתקפת גשר Axie Infinite Ronin, שנחשפה במרץ, כללה מסע פישינג של חודשים לרכישת מפתחות פרטיים הקשורים לארנק ה-multisig שלה, שהביא לגניבת קריפטו של כ-625 מיליון דולר (שתי התקריות מוערכות בזמן התקיפה).

אבל סם סאן, ראש אגף האבטחה בחברת ההשקעות בנכסים דיגיטליים Paradigm, הסביר בשרשור בטוויטר שהגנבים של Nomad לא היו צריכים לדעת דבר על שפת התכנות Ethereum Solidity כדי להסתדר עם בטחונות משתמשים.

האקר Rari Capital חזר לפשוט על Nomad

המפתחים של Nomad דחפו בטעות שדרוג שגרתי שאומר לפרוטוקול לעבד כל עסקה עם ברירת המחדל של ה-root hash של "0x00", כאשר בדרך כלל רשתות בלוקצ'יין דורשות שורש ייחודי וספציפי כהוכחה לכך שהעסקה תקפה.

המשמעות היא ש-Nomad יאשר למעשה כל עסקה שתוגש לפרוטוקול. לאחר שתוקף הבין ויזם העברות לא חוקיות גדולות, משתמשים אחרים פשוט העתיקו והדביקו את סקריפט העסקאות שלהם והחליפו את כתובת המקלט בכתובת שלהם, הסביר ויקטור יאנג, ארכיטקט ראשי ברשת ההדדיות Analog.

בעיני יאנג, יתרון מרכזי של פלטפורמות חוזים חכמים, כמו אלו שמניעות את Nomad, הוא היותם מערכות שלמות של טיורינג. הם יכולים לחשב "כמעט כל מה שמחשב דיגיטלי מודרני יכול לעשות מנקודת מבט מתמטית", אמר יאנג.

"למרבה הצער, זה מציג אינספור וקטורי התקפה בלתי ידועים שפותחים את החוזה החכם לפריצות", אמר יאנג ל-Blockworks. "כאשר אתה משלב את זה עם מפתחים רופפים שלא מצליחים ליישם מערך חזק של מנגנוני בדיקה, אתה מקבל את ההתמוטטות המגוחכת שאנו עדים לה כעת."

יאנג רשם לפלטפורמות בלוקצ'יין אחרות בדיקות מקצה לקצה וביקורות קוד חוזרות כדי לעזור להפחית את הסיכון שזה יקרה במקומות אחרים.

חברת אבטחת בלוקצ'יין PeckShield דיווח כ-41 כתובות פשטו על Nomad, תערובת של ביטקוין עטוף ו-Wrapped Ether לצד מטבעות stablecoin DAI ו- USDC. 

יש לציין, אותה כתובת הקשורה לבירת רארי לפרוץ בסוף אפריל נאמר שגנב 3.4 מיליון דולר במטבעות קריפטוגרפיים. פחות מ-12,000 דולר נותרו בחוזים החכמים של נומד, ירידה מיותר מ-190 מיליון דולר לפני הפשיטה, לכל דפי לאמה

תקרית הנומאד היא כעת הפריצה השלישית בגודלה של השנה, אחרי חור תולעת ורונין. לא ברור מה הלאה עבור החברה. 

גם צוותי Wormhole וגם צוותי Axie Infinite גייסו הון סיכון במטרה להפוך גם את המשתמשים וגם לפרוטוקולים שלהם שלמים בעקבות הפריצות שלהם. Blockworks פנתה אל Nomad כדי ללמוד עוד על התוכניות שלהם.

קבל את החדשות והתובנות המובילות של הקריפטו לתיבת הדואר הנכנס שלך מדי ערב. הירשם לניוזלטר החינמי של Blockworks עכשיו.

  • דייוויד קנליס

    חסימות

    עורך

    דיוויד קאנליס הוא עורך ועיתונאי שבסיסו באמסטרדם, שסיקר את תעשיית הקריפטו במשרה מלאה מאז 2018. הוא מתמקד מאוד בדיווח מונע נתונים כדי לזהות ולמפות מגמות בתוך המערכת האקולוגית, מביטקוין ועד DeFi, מניות קריפטו ל-NFTs ועוד. צור קשר עם דוד באמצעות דוא"ל בכתובת [מוגן בדוא"ל]

מקור: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/