- حادثة Nomad هي ثالث أكبر عملية اختراق للعملات المشفرة لهذا العام ، بعد Wormhole و Ronin
- حوالي 41 عنوانًا تم سحب العملة المشفرة من البروتوكول
عانى جسر الرموز Nomad من "مجانية للجميع" بعد أن داهم المهاجمون البروتوكول بأكثر من 190 مليون دولار من العملات المشفرة.
Nomad ، التي قامت بتسويق نفسها على أنها منصة "الأمان أولاً" لإرسال الرموز المميزة ERC-20 بين سلاسل الكتل المتوافقة ، أكدت الغارة في تغريدة صباح يوم الثلاثاء.
يختلف الحادث عن الاختراقات الأخرى واسعة النطاق لشل الجسور الرمزية هذا العام. تُمكِّن جسور الرمز المميز مستخدمي التشفير من نقل الأصول الرقمية عبر الشبكات عن طريق قفلها أولاً داخل عقد ذكي.
يقوم الجسر بعد ذلك بإصدار رمز مشتق ، "أصل مغلف" ، على الجانب الآخر ، مع قيمها مدعومة بإيداعاتها الأصلية. يدعم Nomad Ethereum و Avalanche و Evmos و Moonbeam.
شهد اختراق Wormhole لشهر فبراير أن المهاجمين يستغلون رمز العقد الذكي عربات التي تجرها الدواب لصك 320 مليون دولار في Ether المغلف دون نشر الضمانات المطلوبة.
اشتمل هجوم Axie Infinite Ronin على الجسر ، الذي تم الكشف عنه في مارس ، على حملة تصيد مدتها أشهر للحصول على مفاتيح خاصة مرتبطة بمحفظة multisig ، مما أدى إلى سرقة نحو 625 مليون دولار من العملات المشفرة (كلا الحادثين تم تقييمهما في وقت الهجوم).
لكن سام صن ، رئيس الأمن في شركة استثمار الأصول الرقمية Paradigm ، أوضح في موضوع على تويتر أن لصوص Nomad لا يحتاجون إلى معرفة أي شيء عن لغة برمجة Ethereum Solidity للاستفادة من ضمانات المستخدم.
عاد قرصان Rari Capital لمداهمة Nomad
دفع مطورو Nomad بطريق الخطأ ترقية روتينية أخبرت البروتوكول بمعالجة أي معاملة باستخدام تجزئة الجذر الافتراضية "0x00" ، حيث تتطلب شبكات blockchain عادةً جذرًا فريدًا ومحددًا كدليل على صحة المعاملة.
هذا يعني أن Nomad ستوافق بشكل فعال على أي معاملة يتم تقديمها إلى البروتوكول. بعد أن أدرك المهاجم عمليات نقل غير مشروعة كبيرة وبدأها ، قام المستخدمون الآخرون ببساطة بنسخ البرنامج النصي للمعاملات الخاصة بهم واستبدال عنوان المستلم بعنوانهم ، كما أوضح فيكتور يونغ ، كبير المهندسين في شبكة التشغيل البيني التناظرية.
بالنسبة إلى Young ، تتمثل الميزة الرئيسية لمنصات العقود الذكية ، مثل تلك التي تشغل Nomad ، في أنها أنظمة Turing-Complete. قال يونج إنهم يستطيعون حساب "كل شيء تقريبًا يمكن أن يفعله الكمبيوتر الرقمي الحديث من وجهة نظر رياضية".
قال يونغ لـ Blockworks: "لسوء الحظ ، يقدم هذا عددًا لا يحصى من نواقل الهجوم غير المعروفة التي تفتح العقد الذكي للاختراق". "عندما تجمع هذا مع المطورين المتراخيين الذين يفشلون في تنفيذ مجموعة قوية من آليات الاختبار ، فإنك تحصل على الانهيار السخيف الذي نشهده حاليًا".
المصدر: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/