- Digwyddiad Nomad yw trydedd arian cyfred digidol mwyaf y flwyddyn, y tu ôl i Wormhole a Ronin
- Mae tua 41 yn mynd i'r afael â seiffon cryptocurrency o'r protocol
Mae pont Token Nomad wedi dioddef “ffrwd am ddim i bawb” ar ôl i ymosodwyr ysbeilio’r protocol am fwy na $190 miliwn mewn arian cyfred digidol.
Cadarnhaodd Nomad, a farchnataodd ei hun fel platfform “diogelwch yn gyntaf” ar gyfer anfon tocynnau ERC-20 rhwng cadwyni bloc cydnaws, y cyrch mewn neges drydar fore Mawrth.
Mae'r digwyddiad yn wahanol i haciau eraill ar raddfa fawr i bontydd tocynnau cripple eleni. Mae pontydd tocyn yn galluogi defnyddwyr crypto i borthladd asedau digidol dros rwydweithiau trwy eu cloi yn gyntaf y tu mewn i gontract smart.
Yna mae'r bont yn cyhoeddi tocyn deilliadol, "ased wedi'i lapio," ar yr ochr arall, gyda'u gwerthoedd wedi'u hategu gan eu dyddodion gwreiddiol. Mae Nomad yn cefnogi Ethereum, Avalanche, Evmos a Moonbeam.
Gwelodd darnia Wormhole ym mis Chwefror ymosodwyr yn ecsbloetio cod contract bygi smart i bathu $320 miliwn eu hunain mewn Ether Lapio heb bostio'r cyfochrog gofynnol.
Roedd ymosodiad pont Ronin Axie Infinite, a ddatgelwyd ym mis Mawrth, yn cynnwys ymgyrch gwe-rwydo am fisoedd i gaffael allweddi preifat yn gysylltiedig â'i waled multisig, a arweiniodd at ddwyn tua $625 miliwn mewn cripto (gwerthfawrogwyd y ddau ddigwyddiad ar adeg yr ymosodiad).
Ond esboniodd Sam Sun, pennaeth diogelwch yn y cwmni buddsoddi asedau digidol Paradigm, mewn edefyn Twitter nad oedd angen i ladron Nomad wybod dim am iaith raglennu Ethereum Solidity i wneud i ffwrdd â chyfochrog defnyddwyr.
Dychwelodd haciwr Rari Capital i gyrchu Nomad
Roedd datblygwyr Nomad wedi gwthio uwchraddiad arferol yn ddamweiniol a ddywedodd wrth y protocol i brosesu unrhyw drafodiad gyda'r stwnsh gwraidd diofyn o “0x00,” lle mae rhwydweithiau blockchain fel arfer yn gofyn am wreiddyn unigryw a phenodol fel prawf bod y trafodiad yn ddilys.
Roedd hyn yn golygu y byddai Nomad i bob pwrpas yn cymeradwyo unrhyw drafodiad a gyflwynwyd i'r protocol. Ar ôl i ymosodwr sylweddoli a chychwyn trosglwyddiadau anghyfreithlon mawr, fe wnaeth defnyddwyr eraill gopïo-gludo eu sgript trafodiad a disodli cyfeiriad y derbynnydd gyda'u rhai eu hunain, esboniodd Victor Young, prif bensaer yn rhwydwaith rhyngweithredu Analog.
I Young, un o fanteision allweddol llwyfannau contract smart, fel y rhai sy'n pweru Nomad, yw eu bod yn systemau cyflawn Turing. Gallant gyfrifo “bron popeth y gall cyfrifiadur digidol modern ei wneud o safbwynt mathemategol,” meddai Young.
“Yn anffodus, mae hyn yn cyflwyno fectorau ymosod di-rif ac anhysbys sy’n agor y contract smart i haciau,” meddai Young wrth Blockworks. “Pan fyddwch chi'n cyfuno hyn â datblygwyr llac sy'n methu â gweithredu set gadarn o fecanweithiau profi, rydych chi'n cael y cwymp chwerthinllyd rydyn ni'n ei weld ar hyn o bryd.”
Ffynhonnell: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/