- Digwyddiad Nomad yw trydedd arian cyfred digidol mwyaf y flwyddyn, y tu ôl i Wormhole a Ronin
- Mae tua 41 yn mynd i'r afael â seiffon cryptocurrency o'r protocol
Mae pont Token Nomad wedi dioddef “ffrwd am ddim i bawb” ar ôl i ymosodwyr ysbeilio’r protocol am fwy na $190 miliwn mewn arian cyfred digidol.
Cadarnhaodd Nomad, a farchnataodd ei hun fel platfform “diogelwch yn gyntaf” ar gyfer anfon tocynnau ERC-20 rhwng cadwyni bloc cydnaws, y cyrch mewn neges drydar fore Mawrth.
Mae'r digwyddiad yn wahanol i haciau eraill ar raddfa fawr i bontydd tocynnau cripple eleni. Mae pontydd tocyn yn galluogi defnyddwyr crypto i borthladd asedau digidol dros rwydweithiau trwy eu cloi yn gyntaf y tu mewn i gontract smart.
Yna mae'r bont yn cyhoeddi tocyn deilliadol, "ased wedi'i lapio," ar yr ochr arall, gyda'u gwerthoedd wedi'u hategu gan eu dyddodion gwreiddiol. Mae Nomad yn cefnogi Ethereum, Avalanche, Evmos a Moonbeam.
Gwelodd darnia Wormhole ym mis Chwefror ymosodwyr yn ecsbloetio cod contract bygi smart i bathu $320 miliwn eu hunain mewn Ether Lapio heb bostio'r cyfochrog gofynnol.
Roedd ymosodiad pont Ronin Axie Infinite, a ddatgelwyd ym mis Mawrth, yn cynnwys ymgyrch gwe-rwydo am fisoedd i gaffael allweddi preifat yn gysylltiedig â'i waled multisig, a arweiniodd at ddwyn tua $625 miliwn mewn cripto (gwerthfawrogwyd y ddau ddigwyddiad ar adeg yr ymosodiad).
Ond esboniodd Sam Sun, pennaeth diogelwch yn y cwmni buddsoddi asedau digidol Paradigm, mewn edefyn Twitter nad oedd angen i ladron Nomad wybod dim am iaith raglennu Ethereum Solidity i wneud i ffwrdd â chyfochrog defnyddwyr.
Dychwelodd haciwr Rari Capital i gyrchu Nomad
Roedd datblygwyr Nomad wedi gwthio uwchraddiad arferol yn ddamweiniol a ddywedodd wrth y protocol i brosesu unrhyw drafodiad gyda'r stwnsh gwraidd diofyn o “0x00,” lle mae rhwydweithiau blockchain fel arfer yn gofyn am wreiddyn unigryw a phenodol fel prawf bod y trafodiad yn ddilys.
Roedd hyn yn golygu y byddai Nomad i bob pwrpas yn cymeradwyo unrhyw drafodiad a gyflwynwyd i'r protocol. Ar ôl i ymosodwr sylweddoli a chychwyn trosglwyddiadau anghyfreithlon mawr, fe wnaeth defnyddwyr eraill gopïo-gludo eu sgript trafodiad a disodli cyfeiriad y derbynnydd gyda'u rhai eu hunain, esboniodd Victor Young, prif bensaer yn rhwydwaith rhyngweithredu Analog.
I Young, un o fanteision allweddol llwyfannau contract smart, fel y rhai sy'n pweru Nomad, yw eu bod yn systemau cyflawn Turing. Gallant gyfrifo “bron popeth y gall cyfrifiadur digidol modern ei wneud o safbwynt mathemategol,” meddai Young.
“Yn anffodus, mae hyn yn cyflwyno fectorau ymosod di-rif ac anhysbys sy’n agor y contract smart i haciau,” meddai Young wrth Blockworks. “Pan fyddwch chi'n cyfuno hyn â datblygwyr llac sy'n methu â gweithredu set gadarn o fecanweithiau profi, rydych chi'n cael y cwymp chwerthinllyd rydyn ni'n ei weld ar hyn o bryd.”
Rhagnododd Young lwyfannau blockchain eraill brofion diwedd-i-ddiwedd ac archwiliadau cod ailadroddus i helpu i liniaru'r risg y byddai hyn yn digwydd mewn mannau eraill.
Cwmni diogelwch Blockchain PeckShield Adroddwyd roedd tua 41 o gyfeiriadau wedi ysbeilio Nomad, cymysgedd o Bitcoin Wrapped ac Ether Wrapped ochr yn ochr â stablecoins DAI a USDC.
Yn nodedig, yr un cyfeiriad sy'n gysylltiedig â Phrifddinas Rari hacio ar ddiwedd mis Ebrill dywedwyd ei fod wedi llygru $3.4 miliwn mewn arian cyfred digidol. Mae llai na $12,000 yn weddill yng nghontractau smart Nomad, i lawr o fwy na $190 miliwn cyn y cyrch, fesul DeFi Llama.
Mae digwyddiad Nomad bellach yn drydydd hac mwyaf y flwyddyn, y tu ôl i Wormhole a Ronin. Nid yw'n glir beth sydd nesaf i'r cwmni.
Cododd timau Wormhole ac Axie Infinite gyfalaf menter mewn ymgais i wneud eu defnyddwyr a'u protocolau yn gyfan yn dilyn eu haciau priodol. Mae Blockworks wedi estyn allan i Nomad i ddysgu mwy am eu cynlluniau.
Sicrhewch fod newyddion a mewnwelediadau crypto gorau'r dydd yn cael eu dosbarthu i'ch mewnflwch bob nos. Tanysgrifiwch i gylchlythyr rhad ac am ddim Blockworks yn awr.
Ffynhonnell: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/