- Het Nomad-incident is de op twee na grootste cryptocurrency-hack van het jaar, achter Wormhole en Ronin
- Ongeveer 41 adressen overgehevelde cryptocurrency van het protocol
Token bridge Nomad heeft geleden onder een "waanzinnige free-for-all" nadat aanvallers het protocol hadden overvallen voor meer dan $ 190 miljoen aan cryptocurrency.
Nomad, dat zichzelf op de markt bracht als een "security-first" platform voor het verzenden van ERC-20-tokens tussen compatibele blockchains, bevestigde de overval in een tweet van dinsdagochtend.
Het incident verschilt dit jaar van andere grootschalige hacks om token-bruggen te verlammen. Tokenbridges stellen crypto-gebruikers in staat om digitale activa over netwerken te porten door ze eerst in een slim contract te vergrendelen.
De brug geeft vervolgens een afgeleid token uit, een "ingepakt actief", aan de andere kant, met hun waarden ondersteund door hun oorspronkelijke deposito's. Nomad ondersteunt Ethereum, Avalanche, Evmos en Moonbeam.
Met de Wormhole-hack van februari maakten aanvallers misbruik van slimme contractcode met fouten om zichzelf $ 320 miljoen in Wrapped Ether te slaan zonder het vereiste onderpand te plaatsen.
De Axie Infinite Ronin bridge-aanval, die in maart werd onthuld, omvatte een maandenlange phishing-campagne om privésleutels te verkrijgen die zijn gekoppeld aan zijn multisig-portemonnee, wat resulteerde in ongeveer $ 625 miljoen aan gestolen crypto (beide incidenten gewaardeerd op het moment van de aanval).
Maar Sam Sun, hoofd beveiliging bij Paradigm, een investeringsmaatschappij voor digitale activa, legde in een Twitter-thread uit dat de dieven van Nomad niets hoefden te weten over de Ethereum-programmeertaal Solidity om met gebruikersmateriaal vandoor te gaan.
Rari Capital-hacker keerde terug om Nomad . te overvallen
De ontwikkelaars van Nomad hadden per ongeluk een routine-upgrade gepusht die het protocol vertelde om elke transactie te verwerken met de standaard root-hash van "0x00", waarbij blockchain-netwerken meestal een unieke en specifieke root vereisen als bewijs dat de transactie geldig is.
Dit betekende dat Nomad elke transactie die aan het protocol werd voorgelegd, effectief zou goedkeuren. Nadat een aanvaller grote illegale overdrachten had gerealiseerd en geïnitieerd, kopieerden andere gebruikers eenvoudig hun transactiescript en vervingen ze het adres van de ontvanger door hun eigen adres, legt Victor Young uit, hoofdarchitect bij het interoperabiliteitsnetwerk Analog.
Voor Young is een belangrijk voordeel van slimme contractplatforms, zoals die van Nomad, dat het Turing-complete systemen zijn. Ze kunnen "vrijwel alles berekenen wat een moderne digitale computer vanuit wiskundig oogpunt kan doen", zei Young.
"Helaas introduceert dit talloze en onbekende aanvalsvectoren die het slimme contract openen voor hacks", vertelde Young aan Blockworks. "Als je dit combineert met lakse ontwikkelaars die er niet in slagen een robuuste set testmechanismen te implementeren, krijg je de belachelijke ineenstorting waar we momenteel getuige van zijn."
Young heeft andere blockchain-platforms end-to-end-tests en herhaalde code-audits voorgeschreven om het risico te verkleinen dat dit elders gebeurt.
Blockchain-beveiligingsbedrijf PeckShield gerapporteerd ongeveer 41 adressen hadden Nomad overvallen, een mix van Wrapped Bitcoin en Wrapped Ether naast stablecoins DAI en USDC.
Met name hetzelfde adres dat is gekoppeld aan de Rari Capital houwen eind april zou naar verluidt $ 3.4 miljoen aan cryptocurrency hebben gestolen. Er staat nog minder dan $ 12,000 in de slimme contracten van Nomad, een daling van meer dan $ 190 miljoen vóór de overval, per DeFi Lama.
Het Nomad-incident is nu de op twee na grootste hack van het jaar, achter Wormhole en Ronin. Het is onduidelijk wat de toekomst biedt voor het bedrijf.
Zowel Wormhole als de Axie Infinite-teams hebben durfkapitaal opgehaald in een poging om zowel hun gebruikers als protocollen volledig te maken na hun respectievelijke hacks. Blockworks heeft contact opgenomen met Nomad om meer te weten te komen over hun plannen.
Ontvang elke avond het beste cryptonieuws en inzichten van de dag in je inbox. Abonneer u op de gratis nieuwsbrief van Blockworks .
Bron: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/