- Nomad-incidenten är årets tredje största kryptovalutahack, bakom Wormhole och Ronin
- Runt 41 adresser hämtade kryptovaluta från protokollet
Token bridge Nomad har drabbats av en "frenzied free-for-all" efter att angripare plundrade protokollet för mer än $190 miljoner i kryptovaluta.
Nomad, som marknadsförde sig som en "säkerhetsförst"-plattform för att skicka ERC-20-tokens mellan kompatibla blockkedjor, bekräftade razzian i en tweet på tisdagsmorgonen.
Händelsen skiljer sig från andra storskaliga hack för att förlama tokenbroar i år. Token-bryggor gör det möjligt för kryptoanvändare att porta digitala tillgångar över nätverk genom att först låsa in dem i ett smart kontrakt.
Bron utfärdar sedan en derivattoken, en "omslagen tillgång", på andra sidan, med deras värden backas upp av deras ursprungliga insättningar. Nomad stödjer Ethereum, Avalanche, Evmos och Moonbeam.
I februaris Wormhole-hack såg angripare utnyttja buggy smart kontraktskod för att skapa sig själva 320 miljoner dollar i Wrapped Ether utan att lägga ut de nödvändiga säkerheterna.
Axie Infinite Ronin-broattacken, som avslöjades i mars, involverade en månader lång nätfiskekampanj för att skaffa privata nycklar associerade med dess multisig-plånbok, vilket resulterade i cirka 625 miljoner dollar i kryptostöld (båda incidenterna värderades vid tidpunkten för attacken).
Men Sam Sun, säkerhetschef på digitala tillgångsinvesteringsföretaget Paradigm, förklarade i en Twitter-tråd att Nomads tjuvar inte behövde veta något om Ethereum-programmeringsspråket Solidity för att klara sig med användarsäkerhet.
Rari Capital hacker återvände för att raida Nomad
Nomads utvecklare hade av misstag drivit en rutinuppgradering som sa till protokollet att bearbeta alla transaktioner med standardrothashen "0x00", där vanligtvis blockkedjenätverk kräver en unik och specifik rot som bevis på att transaktionen är giltig.
Detta innebar att Nomad i praktiken skulle godkänna alla transaktioner som skickades till protokollet. Efter att en angripare insett och initierat stora olagliga överföringar, kopierade andra användare helt enkelt sitt transaktionsskript och ersatte mottagaradressen med sin egen, förklarade Victor Young, chefsarkitekt på interoperabilitetsnätverket Analog.
För Young är en viktig fördel med smarta kontraktsplattformar, som de som driver Nomad, att de är Turing-kompletta system. De kan beräkna "nästan allt en modern digital dator kan göra ur en matematisk synvinkel", sa Young.
"Tyvärr introducerar detta otaliga och okända attackvektorer som öppnar det smarta kontraktet för hacks," sa Young till Blockworks. "När du kombinerar detta med slappa utvecklare som misslyckas med att implementera en robust uppsättning testmekanismer, får du den löjliga härdsmältan som vi för närvarande bevittnar."
Källa: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/