- Nomad-incidenten är årets tredje största kryptovalutahack, bakom Wormhole och Ronin
- Runt 41 adresser hämtade kryptovaluta från protokollet
Token bridge Nomad har drabbats av en "frenzied free-for-all" efter att angripare plundrade protokollet för mer än $190 miljoner i kryptovaluta.
Nomad, som marknadsförde sig som en "säkerhetsförst"-plattform för att skicka ERC-20-tokens mellan kompatibla blockkedjor, bekräftade razzian i en tweet på tisdagsmorgonen.
Händelsen skiljer sig från andra storskaliga hack för att förlama tokenbroar i år. Token-bryggor gör det möjligt för kryptoanvändare att porta digitala tillgångar över nätverk genom att först låsa in dem i ett smart kontrakt.
Bron utfärdar sedan en derivattoken, en "omslagen tillgång", på andra sidan, med deras värden backas upp av deras ursprungliga insättningar. Nomad stödjer Ethereum, Avalanche, Evmos och Moonbeam.
I februaris Wormhole-hack såg angripare utnyttja buggy smart kontraktskod för att skapa sig själva 320 miljoner dollar i Wrapped Ether utan att lägga ut de nödvändiga säkerheterna.
Axie Infinite Ronin-broattacken, som avslöjades i mars, involverade en månader lång nätfiskekampanj för att skaffa privata nycklar associerade med dess multisig-plånbok, vilket resulterade i cirka 625 miljoner dollar i kryptostöld (båda incidenterna värderades vid tidpunkten för attacken).
Men Sam Sun, säkerhetschef på digitala tillgångsinvesteringsföretaget Paradigm, förklarade i en Twitter-tråd att Nomads tjuvar inte behövde veta något om Ethereum-programmeringsspråket Solidity för att klara sig med användarsäkerhet.
Rari Capital hacker återvände för att raida Nomad
Nomads utvecklare hade av misstag drivit en rutinuppgradering som sa till protokollet att bearbeta alla transaktioner med standardrothashen "0x00", där vanligtvis blockkedjenätverk kräver en unik och specifik rot som bevis på att transaktionen är giltig.
Detta innebar att Nomad i praktiken skulle godkänna alla transaktioner som skickades till protokollet. Efter att en angripare insett och initierat stora olagliga överföringar, kopierade andra användare helt enkelt sitt transaktionsskript och ersatte mottagaradressen med sin egen, förklarade Victor Young, chefsarkitekt på interoperabilitetsnätverket Analog.
För Young är en viktig fördel med smarta kontraktsplattformar, som de som driver Nomad, att de är Turing-kompletta system. De kan beräkna "nästan allt en modern digital dator kan göra ur en matematisk synvinkel", sa Young.
"Tyvärr introducerar detta otaliga och okända attackvektorer som öppnar det smarta kontraktet för hacks," sa Young till Blockworks. "När du kombinerar detta med slappa utvecklare som misslyckas med att implementera en robust uppsättning testmekanismer, får du den löjliga härdsmältan som vi för närvarande bevittnar."
Young ordinerade andra blockchain-plattformar end-to-end-tester och upprepade kodrevisioner för att minska risken för att detta skulle hända någon annanstans.
Blockchain-säkerhetsföretaget PeckShield rapporterade runt 41 adresser hade raidat Nomad, en blandning av Wrapped Bitcoin och Wrapped Ether tillsammans med stablecoins DAI och USDC.
Särskilt samma adress som är associerad med Rari Capital hacka i slutet av april sades det ha snattat 3.4 miljoner dollar i kryptovaluta. Mindre än 12,000 190 dollar återstår i Nomads smarta kontrakt, ned från mer än XNUMX miljoner dollar före razzian, pr. DeFi Lama.
Nomad-incidenten är nu årets tredje största hack, bakom Wormhole och Ronin. Det är oklart vad som händer härnäst för företaget.
Både Wormhole och Axie Infinite-teamen samlade in riskkapital i ett försök att göra både deras användare och protokoll hela efter deras respektive hack. Blockworks har kontaktat Nomad för att lära sig mer om deras planer.
Få dagens bästa kryptonyheter och insikter levererade till din inkorg varje kväll. Prenumerera på Blockworks kostnadsfria nyhetsbrev nu.
Källa: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/