هکرها نزدیک به 200 میلیون دلار از استارتاپ کریپتو Nomad تخلیه می کنند

هکرها تقریباً 200 میلیون دلار ارز دیجیتال را از Nomad تخلیه کردند، ابزاری که به کاربران اجازه می‌دهد توکن‌ها را از یک بلاک چین به دیگری مبادله کنند، در حمله دیگری که نقاط ضعف در فضای مالی غیرمتمرکز را برجسته می‌کند.

Nomad اواخر دوشنبه در توییتی به این سوء استفاده اعتراف کرد.

این استارت آپ گفت: «ما از حادثه مربوط به پل نماد Nomad آگاه هستیم. ما در حال حاضر در حال بررسی هستیم و به‌روزرسانی‌هایی را که به دست آوردیم ارائه خواهیم کرد.»

هنوز کاملاً مشخص نیست که این حمله چگونه سازماندهی شده است، یا اینکه Nomad قصد دارد به کاربرانی که توکن های خود را در این حمله از دست داده اند، هزینه را جبران کند. این شرکت که خود را به عنوان یک سرویس «پیام‌رسانی زنجیره‌ای امن» معرفی می‌کند، در صورت تماس با CNBC بلافاصله برای اظهار نظر در دسترس نبود.

کارشناسان امنیت بلاک چین این اکسپلویت را "رایگان برای همه" توصیف کردند. هرکسی که از این اکسپلویت و نحوه عملکرد آن آگاهی داشته باشد، می‌تواند این نقص را کشف کند و مقداری توکن را از Nomad خارج کند - به نوعی مانند ماشین پولی که با زدن یک دکمه پول به بیرون می‌ریزد.

با ارتقاء کد Nomad شروع شد. زمانی که کاربران تصمیم می‌گرفتند انتقالی را آغاز کنند، یک قسمت از کد معتبر علامت‌گذاری می‌شد که به سارقان اجازه می‌داد تا دارایی‌های بیشتری نسبت به سپرده‌گذاری در پلتفرم برداشت کنند. هنگامی که مهاجمان دیگر به آنچه که در حال وقوع بود اکتفا کردند، ارتشی از ربات‌ها را برای انجام حملات کپی‌برداری مستقر کردند.

ویکتور یانگ، بنیان‌گذار و معمار ارشد استارت‌آپ کریپتو آنالوگ، می‌گوید: «بدون تجربه برنامه‌نویسی قبلی، هر کاربری می‌تواند به سادگی داده‌های تماس تراکنش مهاجمان را کپی کند و آدرس را با آدرس خود جایگزین کند تا از پروتکل سوء استفاده کند.

برخلاف حملات قبلی، هک Nomad تبدیل به یک هک رایگان برای همه شد که در آن چندین کاربر شروع به تخلیه شبکه به سادگی با پخش مجدد داده‌های تماس تراکنش اصلی مهاجمان کردند.

سام سان، شریک تحقیقاتی شرکت سرمایه گذاری متمرکز بر رمزارز Paradigm، شرح داده شده این اکسپلویت به عنوان «یکی از آشفته‌ترین هک‌هایی که Web3 تا به حال دیده است» - Web3 یک تکرار فرضی آینده از اینترنت است که بر اساس فناوری بلاک چین ساخته شده است.

Nomad چیزی است که به عنوان "پل" شناخته می شود، ابزاری که به کاربران اجازه می دهد توکن ها و اطلاعات را بین شبکه های رمزنگاری مختلف مبادله کنند. آنها به عنوان جایگزینی برای انجام معاملات مستقیم روی یک بلاک چین استفاده می شوند Ethereum، که می تواند هزینه های پردازش بالایی را در زمانی که فعالیت های زیادی در یک زمان انجام می شود از کاربران دریافت کند.

نمونه هایی از آسیب پذیری ها و طراحی ضعیف پل ها را به هدف اصلی برای هکرهایی تبدیل کرده است که به دنبال کلاهبرداری از میلیون ها سرمایه گذار هستند. بر اساس گزارشی از شرکت انطباق ارز دیجیتال Elliptic، بیش از یک میلیارد دلار از دارایی های رمزنگاری شده از طریق اکسپلویت های پل تا کنون در سال 1 به سرقت رفته است.

در ماه آوریل، یک پل بلاک چین به نام Ronin در یک سرقت 600 میلیون دلار ارز دیجیتال، که مقامات آمریکایی از آن زمان به دولت کره شمالی نسبت داده اند. چند ماه بعد، پل دیگر هارمونی، ۱۰۰ میلیون دلار در حمله ای مشابه تخلیه شد.

مانند Ronin و Harmony، Nomad نیز به دلیل نقص در کد آن مورد هدف قرار گرفت - اما چند تفاوت وجود داشت. با این حملات، هکرها قادر به بازیابی کلیدهای خصوصی مورد نیاز برای به دست آوردن کنترل بر شبکه و شروع به خارج کردن توکن ها بودند. در مورد Nomad، خیلی ساده تر از این بود. یک به‌روزرسانی معمولی برای این پل، کاربران را قادر می‌سازد تا تراکنش‌های خود را انجام دهند و با میلیون‌ها ارز رمزنگاری‌شده به پایان برسند.