- L'incidente di Nomad è il terzo più grande hack di criptovaluta dell'anno, dietro Wormhole e Ronin
- Circa 41 indirizzi hanno sottratto criptovaluta dal protocollo
Il ponte di token Nomad ha subito un "frenetico tutti contro tutti" dopo che gli aggressori hanno fatto irruzione nel protocollo per oltre $ 190 milioni in criptovaluta.
Nomad, che si è commercializzata come piattaforma "security-first" per l'invio di token ERC-20 tra blockchain compatibili, ha confermato il raid in un tweet di martedì mattina.
L'incidente è diverso da altri hack su larga scala per paralizzare i token bridge quest'anno. I token bridge consentono agli utenti di criptovalute di trasferire risorse digitali sulle reti bloccandole prima all'interno di uno smart contract.
Il ponte quindi emette un token derivato, un "asset avvolto", dall'altro lato, con i loro valori supportati dai loro depositi originali. Nomad supporta Ethereum, Avalanche, Evmos e Moonbeam.
L'hacking Wormhole di febbraio ha visto gli aggressori sfruttare il codice dello smart contract buggato per coniare $ 320 milioni in Wrapped Ether senza pubblicare il collaterale richiesto.
L'attacco al bridge Axie Infinite Ronin, divulgato a marzo, ha comportato una campagna di phishing durata mesi per acquisire chiavi private associate al suo portafoglio multisig, che ha portato al furto di criptovalute per circa 625 milioni di dollari (entrambi gli incidenti valutati al momento dell'attacco).
Ma Sam Sun, capo della sicurezza presso la società di investimento di asset digitali Paradigm, ha spiegato in un thread su Twitter che i ladri di Nomad non avevano bisogno di sapere nulla del linguaggio di programmazione Ethereum Solidity per cavarsela con le garanzie degli utenti.
L'hacker di Rari Capital è tornato per fare irruzione su Nomad
Gli sviluppatori di Nomad avevano accidentalmente spinto un aggiornamento di routine che diceva al protocollo di elaborare qualsiasi transazione con l'hash root predefinito "0x00", dove di solito le reti blockchain richiedono una radice univoca e specifica come prova che la transazione è valida.
Ciò significava che Nomad avrebbe effettivamente approvato qualsiasi transazione sottoposta al protocollo. Dopo che un utente malintenzionato ha realizzato e avviato ingenti trasferimenti illeciti, altri utenti hanno semplicemente copiato e incollato lo script della transazione e sostituito l'indirizzo del destinatario con il proprio, ha spiegato Victor Young, capo architetto della rete di interoperabilità Analog.
Per Young, un vantaggio chiave delle piattaforme smart contract, come quelle che alimentano Nomad, è che sono sistemi Turing-completi. Possono calcolare "praticamente tutto ciò che un moderno computer digitale può fare da un punto di vista matematico", ha detto Young.
"Purtroppo, questo introduce innumerevoli e sconosciuti vettori di attacco che aprono il contratto intelligente agli hack", ha detto Young a Blockworks. "Quando si combina questo con sviluppatori permissivi che non riescono a implementare una solida serie di meccanismi di test, si ottiene il ridicolo tracollo a cui stiamo attualmente assistendo".
Young ha prescritto altre piattaforme blockchain test end-to-end e controlli ripetuti del codice per aiutare a mitigare il rischio che ciò accada altrove.
Società di sicurezza blockchain PeckShield segnalati circa 41 indirizzi avevano fatto irruzione in Nomad, una miscela di Wrapped Bitcoin e Wrapped Ether insieme alle stablecoin DAI e USDC.
In particolare, lo stesso indirizzo associato alla Rari Capital incidere a fine aprile si diceva che avesse rubato 3.4 milioni di dollari in criptovaluta. Rimangono meno di $ 12,000 negli smart contract di Nomad, in calo rispetto agli oltre $ 190 milioni prima del raid, per DeFi Lama.
L'incidente di Nomad è ora il terzo più grande hack dell'anno, dietro Wormhole e Ronin. Non è chiaro quali siano le prospettive per l'azienda.
Sia Wormhole che i team di Axie Infinite hanno raccolto capitali di rischio nel tentativo di rendere completi sia i loro utenti che i protocolli dopo i rispettivi hack. Blockworks ha contattato Nomad per saperne di più sui loro piani.
Ricevi ogni sera le notizie e gli approfondimenti più importanti del giorno sulla criptovaluta nella tua casella di posta. Iscriviti alla newsletter gratuita di Blockworks ora.
Fonte: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/