За последние месяцы с рынка криптовалют были стерты миллиарды долларов. Компании в отрасли чувствуют боль. Кредитные и торговые фирмы сталкиваются с кризисом ликвидности, и многие фирмы объявили об увольнениях.
Ю Чун Кристофер Вонг | S3studio | Getty Images
Хакеры вывели почти 200 миллионов долларов в криптовалюте из Nomad, инструмента, который позволяет пользователям обменивать токены с одного блокчейна на другой, в ходе еще одной атаки, выявляющей слабые места в пространстве децентрализованных финансов.
Номад признал эксплойт в твиттере поздно вечером в понедельник.
«Нам известно об инциденте, связанном с мостом токенов Nomad», — заявил стартап. «В настоящее время мы проводим расследование и предоставим обновления, когда они у нас появятся».
Не совсем ясно, как была организована атака и планирует ли Nomad возместить пользователям, потерявшим токены в результате атаки. Компания, которая позиционирует себя как служба «безопасного межсетевого обмена сообщениями», не была сразу доступна для комментариев, когда связалась с CNBC.
Эксперты по безопасности блокчейна описали эксплойт как «бесплатный для всех». Любой, кто знал об эксплойте и о том, как он работает, мог воспользоваться уязвимостью и вывести некоторое количество токенов из Nomad — что-то вроде банкомата, выбрасывающего деньги одним нажатием кнопки.
Все началось с обновления кода Nomad. Одна часть кода помечалась как действительная всякий раз, когда пользователи решали инициировать перевод, что позволяло ворам снимать больше активов, чем было внесено на платформу. Как только другие злоумышленники узнали о том, что происходит, они развернули армии ботов для проведения подражательных атак.
«Не имея предварительного опыта программирования, любой пользователь может просто скопировать исходные данные вызова транзакций злоумышленников и заменить адрес своим, чтобы использовать протокол», — сказал Виктор Янг, основатель и главный архитектор криптостартапа Analog.
«В отличие от предыдущих атак, взлом Nomad стал бесплатным для всех, когда несколько пользователей начали истощать сеть, просто воспроизводя данные исходных вызовов транзакций злоумышленников».
Сэм Сан, партнер по исследованиям в криптовалютной инвестиционной компании Paradigm, описано эксплойт как «один из самых хаотичных взломов, которые когда-либо видел Web3» — Web3 является гипотетической будущей итерацией Интернета, построенной на технологии блокчейна.
Nomad — это то, что известно как «мост», инструмент, который позволяет пользователям обмениваться токенами и информацией между различными криптосетями. Они используются в качестве альтернативы совершению транзакций непосредственно в блокчейне, например Эфириум, что может взимать с пользователей высокую плату за обработку, когда одновременно происходит много действий.
Случаи уязвимости и плохой дизайн сделали мосты главной целью для хакеров, стремящихся обмануть инвесторов на миллионы. Согласно отчету компании Elliptic, занимающейся соблюдением криптографических требований, в 1 году с помощью эксплойтов моста было украдено более 2022 миллиарда долларов криптоактивов.
В апреле блокчейн-мост под названием Ronin был использован в Ограбление криптовалюты на 600 миллионов долларов, который официальные лица США с тех пор приписывают северокорейскому государству. Несколькими месяцами позже в результате аналогичной атаки у другого моста Harmony было украдено 100 миллионов долларов.
Как и Ronin и Harmony, Nomad стал мишенью из-за ошибки в коде, но было несколько отличий. С помощью этих атак хакеры смогли получить закрытые ключи, необходимые для получения контроля над сетью, и начать перемещение токенов. В случае с Номадом все было намного проще. Обычное обновление моста позволяло пользователям подделывать транзакции и уводить криптовалюту на миллионы.
Источник: https://www.cnbc.com/2022/08/02/hackers-drain-nearly-200-million-from-crypto-startup-nomad.html.