- Nomad olayı, Wormhole ve Ronin'in ardından yılın üçüncü büyük kripto para hack'i.
- Yaklaşık 41 adres, protokolden kripto para birimini çaldı
Token köprüsü Nomad, saldırganların 190 milyon dolardan fazla kripto para birimi için protokolü basmasından sonra "herkes için ücretsiz" bir "çılgınlık" yaşadı.
Uyumlu blok zincirleri arasında ERC-20 jetonları göndermek için kendisini "önce güvenlik" platformu olarak pazarlayan Nomad, Salı sabahı bir tweet'te baskını doğruladı.
Olay, bu yıl diğer büyük ölçekli hacklerden token köprülerine kadar farklı. Token köprüleri, kripto kullanıcılarının dijital varlıkları önce akıllı bir sözleşme içinde kilitleyerek ağlar üzerinden taşımasını sağlar.
Köprü daha sonra, diğer tarafta, değerleri orijinal mevduatlarıyla desteklenen bir türev belirteci, "sarılmış bir varlık" yayınlar. Nomad, Ethereum, Avalanche, Evmos ve Moonbeam'i destekler.
Şubat ayındaki Wormhole saldırısı, saldırganların, gerekli teminatı göndermeden kendilerine 320 milyon dolarlık Wrapped Ether basmak için buggy akıllı sözleşme kodundan yararlandığını gördü.
Mart ayında açıklanan Axie Infinite Ronin köprü saldırısı, multisig cüzdanıyla ilişkili özel anahtarları elde etmek için aylarca süren bir kimlik avı kampanyasını içeriyordu ve bu da 625 milyon dolarlık kriptonun çalınmasıyla sonuçlandı (her iki olay da saldırı sırasında değerliydi).
Ancak dijital varlık yatırım şirketi Paradigm'in güvenlik başkanı Sam Sun, bir Twitter ileti dizisinde Nomad'ın hırsızlarının kullanıcı teminatından kurtulmak için Ethereum programlama dili Solidity hakkında hiçbir şey bilmelerine gerek olmadığını açıkladı.
Rari Capital hackerı Nomad baskınına geri döndü
Nomad'ın geliştiricileri yanlışlıkla, protokole herhangi bir işlemi varsayılan kök hash değeri olan "0x00" ile işlemesini söyleyen rutin bir yükseltmeyi zorladı; burada genellikle blok zinciri ağları, işlemin geçerli olduğunun kanıtı olarak benzersiz ve belirli bir kök gerektirir.
Bu, Nomad'ın protokole gönderilen herhangi bir işlemi etkin bir şekilde onaylayacağı anlamına geliyordu. Birlikte çalışabilirlik ağı Analog'un baş mimarı Victor Young, bir saldırganın büyük yasa dışı aktarımları fark edip başlattıktan sonra, diğer kullanıcılar işlem komut dosyalarını kopyalayıp yapıştırdılar ve alıcı adresini kendi adresleriyle değiştirdiler.
Young'a göre, Nomad'a güç verenler gibi akıllı sözleşme platformlarının önemli bir avantajı, Turing-tam sistemler olmalarıdır. Young, "Modern bir dijital bilgisayarın yapabileceği her şeyi matematiksel bir bakış açısıyla hesaplayabilirler" dedi.
Young, Blockworks'e “Ne yazık ki bu, akıllı sözleşmeyi saldırılara açan sayısız ve bilinmeyen saldırı vektörlerini ortaya çıkarıyor” dedi. "Bunu, sağlam bir dizi test mekanizması uygulayamayan gevşek geliştiricilerle birleştirdiğinizde, şu anda tanık olduğumuz saçma sapan çöküşü elde edersiniz."
Kaynak: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/