En uno de los hacks más extensos desde el de Axie Infinity. Cadena lateral del puente Ronin en marzo, un exploit en el puente token de Nomad ha permitido a los atacantes robar el puente de aproximadamente $ 190 millones.
La firma de seguridad PeckShield dijo Descifrar que los fondos sustraídos estaban denominados en Ethereum, USDC, DAI, FXS y CQT.
“Somos conscientes del incidente relacionado con el puente token de Nomad. Actualmente estamos investigando y proporcionaremos actualizaciones cuando las tengamos”, Nomad tuiteó La tarde del Lunes.
Somos conscientes del incidente relacionado con el puente de fichas de Nomad. Actualmente estamos investigando y proporcionaremos actualizaciones cuando las tengamos.
El puente Nomad es un protocolo que permite a los usuarios mover activos digitales entre diferentes blockchains, incluyendo Avalancha (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 y Moonbeam (GLMR).
Nomad TVL se desplomó cuando se retiraron los fondos del protocolo. Imagen: Llama DeFi.
Si bien los detalles de Nomad son escasos, algunos han señalado un error de configuración en un contrato inteligente que Nomad usa para procesar mensajes como la causa, lo que permite que se drenen millones del fondo de liquidez de Nomad.
"Todo comenzó cuando @officer_cia compartió el tweet de @spreekaway en el canal ETHSecurity Telegram", tuiteó Sam Sun, investigador de la firma de criptoinversión Paradigm. “Aunque no tenía idea de lo que estaba pasando en ese momento, solo el gran volumen de activos que salían del puente era claramente una mala señal”.
“Resulta que durante una actualización de rutina”, continuó Sun. “El equipo de Nomad inicializó la raíz de confianza para que fuera 0x00. Para ser claros, usar valores cero como valores de inicialización es una práctica común. Desafortunadamente, en este caso tuvo un pequeño efecto secundario de probar automáticamente cada mensaje”.
Ataque de puente nómada 'un frenético todos contra todos'
Sun comparó lo que sucedió a continuación con "un frenético combate contra todos" porque se necesitó poco conocimiento técnico para aprovechar la vulnerabilidad.
“No necesitabas saber sobre Solidity o Merkle Trees ni nada por el estilo”, escribió Sun. "Todo lo que tenía que hacer era encontrar una transacción que funcionara, buscar/reemplazar la dirección de la otra persona con la suya y luego volver a transmitirla".
Del mismo modo, la empresa de seguridad blockchain Certik Informó que los atacantes podrían explotar el error simplemente copiando y pegando transacciones. La firma agregó que las personas podrían explotar la actualización "copiando los datos de la llamada de transacción del pirata informático original y reemplazando la dirección original con una personal".
?Explicando el truco del puente Nomad?
Todo crédito a @samczsun por hacer el trabajo pesado de diagnosticar la vulnerabilidad precisa en su autopsia
¿Cómo obtuvimos el primer saqueo masivo descentralizado de un puente de 9 cifras en la historia? pic.twitter.com/v5u6mrKQv1
De esta manera, el puente se quedó sin casi todos sus fondos.
“El puente de Nomad se hizo dueño de manera similar al QBridge de Qubit”, tuiteó el ingeniero de seguridad de a16z Matt Gleason. “Una configuración insegura del puente provocó una ruta específica para permitir el envío de cualquier transacción. El error está dentro de la función 'proceso' de la Réplica”.
1/ El puente de Nomad fue adquirido de manera similar al QBridge de Qubit. Una configuración insegura del puente provocó una ruta específica para permitir el envío de cualquier transacción. El error está dentro de la función de "proceso" de la réplica.
“El sistema aceptará cualquier mensaje que nunca antes haya visto y lo procesará como si fuera genuino, lo que significa que lo único que tienes que hacer es pedir todo el dinero del puente y lo obtendrás”, agregó.
Según la FTC, Ataques ciberneticos Los proyectos contra las criptomonedas no parecen mostrar signos de desaceleración, con más de mil millones de dólares en criptomonedas robadas desde 1.
Manténgase al tanto de las noticias criptográficas, obtenga actualizaciones diarias en su bandeja de entrada.
