Miljarder dollar i värde har utplånats från kryptovalutamarknaden de senaste månaderna. Företag i branschen känner smärtan. Låne- och handelsföretag står inför en likviditetskris och många företag har aviserat uppsägningar.
Yu Chun Christopher Wong | S3studio | Getty bilder
Hackare tömde nästan 200 miljoner dollar i kryptovaluta från Nomad, ett verktyg som låter användare byta tokens från en blockkedja till en annan, i ännu en attack som lyfter fram svagheter i det decentraliserade finansområdet.
Nomad erkände utnyttjandet i en tweet sent på måndagen.
"Vi är medvetna om incidenten som involverade Nomad token bridge," sa startupen. "Vi undersöker för närvarande och kommer att ge uppdateringar när vi har dem."
Det är inte helt klart hur attacken orkestrerades, eller om Nomad planerar att ersätta användare som förlorat tokens i attacken. Företaget, som marknadsför sig som en "säker meddelandetjänst över kedjan", var inte omedelbart tillgänglig för kommentarer när de kontaktades av CNBC.
Blockchain-säkerhetsexperter beskrev exploateringen som en "gratis för alla". Alla med kunskap om utnyttjandet och hur det fungerade kunde ta tag i felet och ta ut ett antal tokens från Nomad - ungefär som en bankomat som spyr ut pengar med en knapptryckning.
Det började med en uppgradering till Nomads kod. En del av koden markerades som giltig när användarna bestämde sig för att initiera en överföring, vilket gjorde det möjligt för tjuvar att ta ut fler tillgångar än de som satts in på plattformen. När andra angripare väl förstod vad som pågick, satte de in arméer av robotar för att utföra copycat-attacker.
"Utan tidigare erfarenhet av programmering kan vilken användare som helst helt enkelt kopiera de ursprungliga angriparnas transaktionsdata och ersätta adressen med deras för att utnyttja protokollet", säger Victor Young, grundare och chefsarkitekt för kryptostartup Analog.
"Till skillnad från tidigare attacker blev Nomad-hacket ett gratis-för-alla där flera användare började tömma nätverket genom att helt enkelt spela om de ursprungliga angriparnas transaktionssamtalsdata."
Sam Sun, forskningspartner på det kryptofokuserade investeringsföretaget Paradigm, beskriven utnyttjandet som "ett av de mest kaotiska hack som Web3 någonsin har sett" - Web3 är en hypotetisk framtida iteration av internet byggt kring blockchain-teknik.
Nomad är vad som kallas en "brygga", ett verktyg som låter användare utbyta tokens och information mellan olika kryptonätverk. De används som ett alternativ till att göra transaktioner direkt på en blockchain som Ethereum, som kan debitera användarna höga hanteringsavgifter när det händer mycket aktivitet samtidigt.
Fall av sårbarheter och dålig design har gjort broar till ett främsta mål för hackare som försöker lura investerare på miljoner. Mer än 1 miljard dollar i kryptotillgångar har stulits genom broexploater hittills 2022, enligt en rapport från kryptoefterlevnadsföretaget Elliptic.
I april utnyttjades en blockchain-bro som heter Ronin i en 600 miljoner dollar kryptorån, vilkna amerikanska tjänstemän har sedan tillskrivit den nordkoreanska staten. Några månader senare dränerades Harmony, en annan bro, på 100 miljoner dollar i en liknande attack.
Liksom Ronin och Harmony, var Nomad måltavla genom ett fel i sin kod - men det fanns några skillnader. Med dessa attacker kunde hackare hämta de privata nycklar som behövdes för att få kontroll över nätverket och börja flytta ut tokens. I Nomads fall var det mycket enklare än så. En rutinmässig uppdatering av bryggan gjorde det möjligt för användare att förfalska transaktioner och klara sig med miljontals krypto.
Källa: https://www.cnbc.com/2022/08/02/hackers-drain-nearly-200-million-from-crypto-startup-nomad.html