- Het Nomad-incident is de op twee na grootste cryptocurrency-hack van het jaar, achter Wormhole en Ronin
- Ongeveer 41 adressen overgehevelde cryptocurrency van het protocol
Token bridge Nomad heeft geleden onder een "waanzinnige free-for-all" nadat aanvallers het protocol hadden overvallen voor meer dan $ 190 miljoen aan cryptocurrency.
Nomad, dat zichzelf op de markt bracht als een "security-first" platform voor het verzenden van ERC-20-tokens tussen compatibele blockchains, bevestigde de overval in een tweet van dinsdagochtend.
Het incident verschilt dit jaar van andere grootschalige hacks om token-bruggen te verlammen. Tokenbridges stellen crypto-gebruikers in staat om digitale activa over netwerken te porten door ze eerst in een slim contract te vergrendelen.
De brug geeft vervolgens een afgeleid token uit, een "ingepakt actief", aan de andere kant, met hun waarden ondersteund door hun oorspronkelijke deposito's. Nomad ondersteunt Ethereum, Avalanche, Evmos en Moonbeam.
Met de Wormhole-hack van februari maakten aanvallers misbruik van slimme contractcode met fouten om zichzelf $ 320 miljoen in Wrapped Ether te slaan zonder het vereiste onderpand te plaatsen.
De Axie Infinite Ronin bridge-aanval, die in maart werd onthuld, omvatte een maandenlange phishing-campagne om privésleutels te verkrijgen die zijn gekoppeld aan zijn multisig-portemonnee, wat resulteerde in ongeveer $ 625 miljoen aan gestolen crypto (beide incidenten gewaardeerd op het moment van de aanval).
Maar Sam Sun, hoofd beveiliging bij Paradigm, een investeringsmaatschappij voor digitale activa, legde in een Twitter-thread uit dat de dieven van Nomad niets hoefden te weten over de Ethereum-programmeertaal Solidity om met gebruikersmateriaal vandoor te gaan.
Rari Capital-hacker keerde terug om Nomad . te overvallen
De ontwikkelaars van Nomad hadden per ongeluk een routine-upgrade gepusht die het protocol vertelde om elke transactie te verwerken met de standaard root-hash van "0x00", waarbij blockchain-netwerken meestal een unieke en specifieke root vereisen als bewijs dat de transactie geldig is.
Dit betekende dat Nomad elke transactie die aan het protocol werd voorgelegd, effectief zou goedkeuren. Nadat een aanvaller grote illegale overdrachten had gerealiseerd en geïnitieerd, kopieerden andere gebruikers eenvoudig hun transactiescript en vervingen ze het adres van de ontvanger door hun eigen adres, legt Victor Young uit, hoofdarchitect bij het interoperabiliteitsnetwerk Analog.
Voor Young is een belangrijk voordeel van slimme contractplatforms, zoals die van Nomad, dat het Turing-complete systemen zijn. Ze kunnen "vrijwel alles berekenen wat een moderne digitale computer vanuit wiskundig oogpunt kan doen", zei Young.
"Helaas introduceert dit talloze en onbekende aanvalsvectoren die het slimme contract openen voor hacks", vertelde Young aan Blockworks. "Als je dit combineert met lakse ontwikkelaars die er niet in slagen een robuuste set testmechanismen te implementeren, krijg je de belachelijke ineenstorting waar we momenteel getuige van zijn."
Bron: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/