- حادثه Nomad سومین هک بزرگ ارزهای دیجیتال در سال است، پس از Wormhole و Ronin.
- حدود 41 آدرس، ارز دیجیتال را از پروتکل حذف کردند
پل توکن Nomad پس از حمله مهاجمان به پروتکل برای بیش از 190 میلیون دلار ارز رمزنگاری شده، دچار یک "رایگان دیوانه کننده برای همه" شده است.
Nomad که خود را به عنوان یک پلتفرم «اول امنیتی» برای ارسال توکن های ERC-20 بین بلاک چین های سازگار به بازار عرضه کرد، در یک توییت صبح سه شنبه این حمله را تایید کرد.
این حادثه با سایر هکهای مقیاس بزرگ برای فلج کردن پلهای توکن در سال جاری متفاوت است. پل های توکن به کاربران رمزارز اجازه می دهد تا دارایی های دیجیتال را روی شبکه ها با قفل کردن آنها در یک قرارداد هوشمند منتقل کنند.
سپس پل یک توکن مشتق، یک "دارایی پیچیده" از طرف دیگر، با ارزش های آنها توسط سپرده های اصلی خود منتشر می کند. Nomad از اتریوم، Avalanche، Evmos و Moonbeam پشتیبانی می کند.
هک Wormhole در فوریه شاهد بود که مهاجمان از کد قرارداد هوشمند حشره دار سوء استفاده کردند تا 320 میلیون دلار خود را در Wrapped Ether بدون ارسال وثیقه مورد نیاز، برش دهند.
حمله Axie Infinite Ronin Bridge، که در ماه مارس فاش شد، شامل یک کمپین فیشینگ چند ماهه برای به دست آوردن کلیدهای خصوصی مرتبط با کیف پول multisig آن بود که منجر به دزدیده شدن 625 میلیون دلار ارز دیجیتال شد (هر دو حادثه در زمان حمله ارزش داشتند).
اما سام سان، رئیس امنیت شرکت سرمایهگذاری داراییهای دیجیتال Paradigm، در یک تاپیک توییتری توضیح داد که سارقان Nomad نیازی به دانستن چیزی در مورد زبان برنامهنویسی اتریوم Solidity ندارند تا با وثیقههای کاربر کنار بیایند.
هکر Rari Capital برای حمله به Nomad بازگشت
توسعه دهندگان Nomad به طور تصادفی یک ارتقاء معمولی را انجام داده بودند که به پروتکل می گفت هر تراکنش را با هش ریشه پیش فرض "0x00" پردازش کند، جایی که معمولاً شبکه های بلاک چین به یک ریشه منحصر به فرد و خاص به عنوان مدرک معتبر بودن تراکنش نیاز دارند.
این بدان معناست که Nomad به طور موثر هر تراکنش ارائه شده به پروتکل را تأیید می کند. ویکتور یانگ، معمار ارشد شبکه تعاملی آنالوگ، توضیح داد: پس از اینکه مهاجم متوجه شد و انتقالهای غیرقانونی بزرگ را آغاز کرد، سایر کاربران به سادگی اسکریپت تراکنش خود را کپی کرده و آدرس گیرنده را با آدرس خود جایگزین کردند.
برای یانگ، یک مزیت کلیدی پلتفرمهای قرارداد هوشمند، مانند پلتفرمهایی که نومد را نیرو میدهند، این است که سیستمهای تورینگ کامل هستند. یانگ گفت: آنها می توانند "تقریباً هر کاری را که یک کامپیوتر دیجیتال مدرن می تواند از نقطه نظر ریاضی انجام دهد" محاسبه کنند.
یانگ به Blockworks گفت: «متاسفانه، این بردارهای حمله بیشماری و ناشناخته را معرفی میکند که قرارداد هوشمند را به روی هکها باز میکند. "وقتی این را با توسعه دهندگان سهل گیر ترکیب می کنید که نمی توانند مجموعه ای قوی از مکانیسم های آزمایشی را پیاده سازی کنند، دچار فروپاشی مضحکی می شوید که در حال حاضر شاهد آن هستیم."
منبع: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/