- O incidente Nomad é o terceiro maior hack de criptomoeda do ano, atrás de Wormhole e Ronin
- Cerca de 41 endereços desviaram criptomoeda do protocolo
A ponte de tokens Nomad sofreu um “frenético livre para todos” depois que os invasores invadiram o protocolo por mais de US$ 190 milhões em criptomoeda.
A Nomad, que se comercializou como uma plataforma “segurança em primeiro lugar” para enviar tokens ERC-20 entre blockchains compatíveis, confirmou a invasão em um tweet na manhã de terça-feira.
O incidente difere de outros hacks em grande escala para prejudicar as pontes de token este ano. As pontes de token permitem que os usuários de criptografia transfiram ativos digitais pelas redes, primeiro bloqueando-os dentro de um contrato inteligente.
A ponte então emite um token derivativo, um “ativo empacotado”, do outro lado, com seus valores respaldados por seus depósitos originais. Nomad suporta Ethereum, Avalanche, Evmos e Moonbeam.
O hack do Wormhole de fevereiro viu os invasores explorarem o código de contrato inteligente com bugs para cunhar US$ 320 milhões em Wrapped Ether sem postar as garantias necessárias.
O ataque da ponte Axie Infinite Ronin, divulgado em março, envolveu uma campanha de phishing de meses para adquirir chaves privadas associadas à sua carteira multisig, que resultou em cerca de US$ 625 milhões em criptomoedas roubadas (ambos os incidentes avaliados no momento do ataque).
Mas Sam Sun, chefe de segurança da empresa de investimentos em ativos digitais Paradigm, explicou em um tópico no Twitter que os ladrões do Nomad não precisavam saber nada sobre a linguagem de programação Ethereum Solidity para roubar garantias do usuário.
Hacker da Rari Capital voltou a atacar Nomad
Os desenvolvedores do Nomad acidentalmente enviaram uma atualização de rotina que dizia ao protocolo para processar qualquer transação com o hash raiz padrão de “0x00”, onde geralmente as redes blockchain exigem uma raiz única e específica como prova de que a transação é válida.
Isso significava que a Nomad aprovaria efetivamente qualquer transação submetida ao protocolo. Depois que um invasor percebeu e iniciou grandes transferências ilícitas, outros usuários simplesmente copiaram e colaram seu script de transação e substituíram o endereço do destinatário pelo seu próprio, explicou Victor Young, arquiteto-chefe da rede de interoperabilidade Analog.
Para Young, uma vantagem importante das plataformas de contratos inteligentes, como as que alimentam o Nomad, é que elas são sistemas Turing-completos. Eles podem calcular “praticamente tudo que um computador digital moderno pode fazer do ponto de vista matemático”, disse Young.
“Infelizmente, isso introduz inúmeros e desconhecidos vetores de ataque que abrem o contrato inteligente para hacks”, disse Young à Blockworks. “Quando você combina isso com desenvolvedores negligentes que falham em implementar um conjunto robusto de mecanismos de teste, você obtém o colapso ridículo que estamos testemunhando atualmente.”
Young prescreveu testes de ponta a ponta para outras plataformas de blockchain e auditorias de código repetidas para ajudar a mitigar o risco de isso acontecer em outros lugares.
A empresa de segurança Blockchain PeckShield relatado cerca de 41 endereços invadiram o Nomad, uma mistura de Wrapped Bitcoin e Wrapped Ether ao lado de stablecoins DAI e USDC.
Notavelmente, o mesmo endereço associado ao Rari Capital cortar no final de abril teria furtado US$ 3.4 milhões em criptomoedas. Menos de US$ 12,000 permanecem nos contratos inteligentes da Nomad, abaixo dos mais de US$ 190 milhões antes do ataque, por DeFi Lhama.
O incidente Nomad é agora o terceiro maior hack do ano, atrás de Wormhole e Ronin. Não está claro o que vem a seguir para a empresa.
As equipes do Wormhole e do Axie Infinite levantaram capital de risco em uma tentativa de tornar seus usuários e protocolos completos após seus respectivos hacks. A Blockworks entrou em contato com a Nomad para saber mais sobre seus planos.
Receba as principais notícias e informações sobre criptografia do dia em sua caixa de entrada todas as noites. Assine o boletim informativo gratuito da Blockworks !
Fonte: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/