「Frenzied Free-For-All」で Nomad Token Bridge が 190 億 XNUMX 万ドルで襲撃される

トークン ブリッジ Nomad は、攻撃者が 190 億 XNUMX 万ドル以上の暗号通貨でプロトコルを襲撃した後、「熱狂的な自由奔放」に苦しんでいます。

互換性のあるブロックチェーン間でERC-20トークンを送信するための「セキュリティ第一」のプラットフォームとして自社を売り込んだNomadは、火曜日の朝のツイートで襲撃を確認した.

この事件は、今年の他の大規模なハッキングによるトークン ブリッジの破壊とは異なります。 トークン ブリッジを使用すると、最初にスマート コントラクト内でデジタル資産をロックすることにより、暗号ユーザーがネットワーク経由でデジタル資産を移植できるようになります。 

次に、ブリッジは、元の預金によって裏付けられた価値を持つ派生トークン、つまり「ラップされた資産」を反対側で発行します。 Nomad は Ethereum、Avalanche、Evmos、Moonbeam をサポートしています。

320 月のワームホール ハッキングでは、攻撃者がバグのあるスマート コントラクト コードを悪用して、必要な担保を提示せずに XNUMX 億 XNUMX 万ドルのラップ イーサを作成しました。 

625 月に公開された Axie Infinite Ronin ブリッジ攻撃には、マルチシグ ウォレットに関連付けられた秘密鍵を取得するための数か月にわたるフィッシング キャンペーンが関与しており、その結果、約 XNUMX 億 XNUMX 万ドルの暗号が盗まれました (どちらの事件も攻撃時の価値があります)。

しかし、デジタル資産投資会社 Paradigm のセキュリティ責任者である Sam Sun 氏は Twitter のスレッドで、Nomad の泥棒はユーザーの担保を盗むために Ethereum プログラミング言語 Solidity について何も知る必要はないと説明しました。

ラリ・キャピタルのハッカーが襲撃ノマドに戻った

Nomad の開発者は、通常、ブロックチェーン ネットワークがトランザクションが有効であることの証明として一意で特定のルートを必要とするデフォルトのルート ハッシュ「0x00」でトランザクションを処理するようにプロトコルに指示する定期的なアップグレードを誤ってプッシュしていました。

これは、Nomad がプロトコルに送信されたすべてのトランザクションを効果的に承認することを意味していました。 攻撃者が大規模な不正な転送を認識して開始した後、他のユーザーはトランザクション スクリプトをコピーして貼り付け、受信者のアドレスを自分のアドレスに置き換えただけだと、相互運用ネットワーク Analog のチーフ アーキテクトである Victor Young 氏は説明しています。

ヤングにとって、Nomad を動かしているようなスマート コントラクト プラットフォームの主な利点は、それらがチューリング完全なシステムであることです。 彼らは、「現代のデジタル コンピューターが数学的な観点から実行できるほぼすべてのこと」を計算できると、ヤング氏は述べています。

「残念ながら、これにより、スマート コントラクトがハッキングされる可能性がある無数の未知の攻撃ベクトルが導入されます」と Young 氏は Blockworks に語っています。 「これを、堅牢な一連のテスト メカニズムの実装に失敗した怠惰な開発者と組み合わせると、私たちが現在目にしているばかげたメルトダウンが発生します。」