Mae biliynau o ddoleri o werth wedi cael eu dileu oddi ar y farchnad arian cyfred digidol yn ystod y misoedd diwethaf. Mae cwmnïau yn y diwydiant yn teimlo'r boen. Mae cwmnïau benthyca a masnachu yn wynebu argyfwng hylifedd ac mae llawer o gwmnïau wedi cyhoeddi diswyddiadau.
Yu Chun Christopher Wong | S3studio | Delweddau Getty
Draeniodd hacwyr bron i $200 miliwn mewn arian cyfred digidol o Nomad, offeryn sy'n caniatáu i ddefnyddwyr gyfnewid tocynnau o un blockchain i'r llall, mewn ymosodiad arall sy'n tynnu sylw at wendidau yn y gofod cyllid datganoledig.
Fe wnaeth Nomad gydnabod y camfanteisio mewn neges drydar yn hwyr ddydd Llun.
“Rydyn ni’n ymwybodol o’r digwyddiad yn ymwneud â phont docynnau Nomad,” meddai’r cwmni cychwynnol. “Rydym yn ymchwilio ar hyn o bryd a byddwn yn darparu diweddariadau pan fydd gennym ni.”
Nid yw'n gwbl glir sut y trefnwyd yr ymosodiad, nac a yw Nomad yn bwriadu ad-dalu defnyddwyr a gollodd docynnau yn yr ymosodiad. Nid oedd y cwmni, sy'n marchnata ei hun fel gwasanaeth “negeseuon traws-gadwyn diogel”, ar gael ar unwaith i roi sylwadau pan gysylltodd CNBC â hi.
Disgrifiodd arbenigwyr diogelwch Blockchain y camfanteisio fel rhywbeth “am ddim i bawb.” Gallai unrhyw un sydd â gwybodaeth am y camfanteisio a sut yr oedd yn gweithio gipio ar y diffyg a thynnu swm o docynnau oddi wrth Nomad - math o fel peiriant arian yn sbaddu arian wrth dap botwm.
Dechreuodd gydag uwchraddiad i god Nomad. Roedd un rhan o'r cod wedi'i farcio'n ddilys pryd bynnag y byddai defnyddwyr yn penderfynu cychwyn trosglwyddiad, a oedd yn caniatáu i ladron dynnu mwy o asedau nag a adneuwyd i'r platfform. Unwaith y gwnaeth ymosodwyr eraill gyd-fynd â'r hyn oedd yn digwydd, fe wnaethant ddefnyddio byddinoedd o fotiau i gynnal ymosodiadau copi-gad.
“Heb brofiad blaenorol o raglennu, gallai unrhyw ddefnyddiwr gopïo data galwadau trafodion yr ymosodwyr gwreiddiol a rhoi eu cyfeiriad yn lle’r cyfeiriad i fanteisio ar y protocol,” meddai Victor Young, sylfaenydd a phrif bensaer Analog cychwyn crypto.
“Yn wahanol i ymosodiadau blaenorol, daeth hac Nomad yn rhad ac am ddim i bawb lle dechreuodd defnyddwyr lluosog ddraenio’r rhwydwaith trwy ailchwarae data galwadau trafodion yr ymosodwyr gwreiddiol.”
Sam Sun, partner ymchwil yn y cwmni buddsoddi Paradigm sy'n canolbwyntio ar cripto, disgrifiwyd y camfanteisio fel “un o'r haciau mwyaf anhrefnus a welodd Web3 erioed” - Web3 yn fersiwn ddamcaniaethol o'r rhyngrwyd yn y dyfodol wedi'i seilio ar dechnoleg blockchain.
Nomad yw'r hyn a elwir yn “bont,” offeryn sy'n caniatáu i ddefnyddwyr gyfnewid tocynnau a gwybodaeth rhwng gwahanol rwydweithiau crypto. Fe'u defnyddir fel dewis arall yn lle gwneud trafodion yn uniongyrchol ar blockchain fel Ethereum, a all godi ffioedd prosesu uchel ar ddefnyddwyr pan fydd llawer o weithgaredd yn digwydd ar unwaith.
Mae enghreifftiau o wendidau a dyluniad gwael wedi gwneud pontydd yn brif darged i hacwyr sy'n ceisio tynnu buddsoddwyr allan o filiynau. Mae mwy na $1 biliwn mewn asedau crypto wedi’u dwyn trwy orchestion pontydd hyd yn hyn yn 2022, yn ôl adroddiad gan y cwmni cydymffurfio cripto Elliptic.
Ym mis Ebrill, ecsbloetiwyd pont blockchain o'r enw Ronin mewn a $600 miliwn o arian crypto, y mae swyddogion yr Unol Daleithiau wedi'i briodoli ers hynny i wladwriaeth Gogledd Corea. Rai misoedd yn ddiweddarach, cafodd Harmony, pont arall, ei draenio o $100 miliwn mewn ymosodiad tebyg.
Fel Ronin a Harmony, targedwyd Nomad trwy ddiffyg yn ei god - ond roedd ychydig o wahaniaethau. Gyda'r ymosodiadau hynny, roedd hacwyr yn gallu adalw'r allweddi preifat sydd eu hangen i ennill rheolaeth dros y rhwydwaith a dechrau symud tocynnau allan. Yn achos Nomad, roedd yn llawer symlach na hynny. Roedd diweddariad arferol i'r bont yn galluogi defnyddwyr i greu trafodion a gwneud i ffwrdd â gwerth miliynau o crypto.
Ffynhonnell: https://www.cnbc.com/2022/08/02/hackers-drain-nearly-200-million-from-crypto-startup-nomad.html