Nomad Bridge sufre una redada de más de $190 millones

Puente de cadena cruzada Nomad Bridge se convirtió en el principal objetivo de los piratas informáticos y... saqueadores, y Dios sabe qué más...

Nomad Bridge, un protocolo que permite interacciones entre diferentes cadenas de bloques, fue pirateado esta semana. Los piratas informáticos explotaron las vulnerabilidades. del puente y robó más de $190 millones en activos.

Los activos afectados en el incidente incluyen WBTC, WETH, USDC, FRAX, CQT, HBOT, IAG, DAI, GERO, CARDS, SDL y C3. Nomad es el siguiente nombre que se une a la lista de puentes desafortunados bajo grandes ataques después de Axie Infinity y Horizon.

Nomad Bridge fue golpeado: a lo grande

La primera transacción sospechosa se realizó el 2 de agosto, cuando los piratas informáticos intentaron transferir 100 Wrapped Bitcoin (WBTC) equivalentes a USD 2.3 millones desde el puente.

Al descubrir el problema sobre posibles explotaciones adicionales, los oportunistas aprovecharon la laguna, replicaron la información de la transacción del pirata informático, cambiaron la dirección original a sus direcciones y retiraron dinero con éxito.

El exploit de esta vez es fácil de duplicar, lo que explica por qué es el ataque más rápido y caótico.

Cualquier persona en Discord del proyecto podría simplemente copiar la primera transacción del atacante y cambiar la dirección, luego presionar enviar a través de Etherscan, recibirán aleatoriamente miles de dólares por txid.

¿Cómo es posible que suceda?

Dado que el incidente aún se está investigando, el proyecto pirateado no ha proporcionado más explicaciones. Sin embargo, algunos investigadores y expertos en criptografía han indicado respuestas viables.

El salvaje oeste de las finanzas

Según el investigador de Paradigm, Sam Sun, la vulnerabilidad se deriva de otro error descubierto e informado a Nomad por la unidad de auditoría de contratos inteligentes Quantstamp a principios de junio.

El proyecto abordó el otro problema, pero en el proceso de hacerlo, cambió a root 0x000..., lo que tuvo las repercusiones que ocurrieron.

Cada transacción pasará por una etapa de verificación (verify) para garantizar que sea válida. Y, aunque Root es necesario para esta verificación, el desarrollador aquí lo dejó en 0x00, y este código de identificación de Root garantiza automáticamente que todas las transacciones sean válidas.

El equipo de Nomad emitió advertencias sobre el evento relacionado con el puente del token de Nomad poco después de enterarse.

El puente Nomad se cerró después del ataque, según el hilo oficial de Twitter de Nomad. El equipo declaró que están trabajando con la policía para investigar más a fondo el evento.

Esto es,

“Somos conscientes de los imitadores que se hacen pasar por nómadas y proporcionan direcciones fraudulentas para recaudar fondos. Todavía no estamos dando instrucciones para devolver los fondos puente. Ignore las comunicaciones de todos los canales que no sean el canal oficial de Nomad: @nomadxyz_”.

Nomad es una gran idea

Nomad es un puente que permite la transferencia de tokens entre diferentes blockchains como Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 y Moonbeam (GLMR) a través del sistema de mensajería de Nomad.

El protocolo tiene una amplia gama de posibilidades de aplicación y se puede utilizar para desarrollar aplicaciones de cadena cruzada.

Nomad reveló recientemente que recaudó con éxito $ 22 millones de figuras líderes en la industria, incluidas Coinbase Ventures, OpenSea y otros cinco jugadores importantes en una financiación inicial liderada por Polychain en abril. La financiación superó la valoración de la empresa a 225 millones de dólares.

En comparación con los ataques contra puentes de cadena cruzada en 2021, estos ataques de este año causaron graves daños al proyecto en sí, a los VC y a los proyectos asociados con los puentes debido a la naturaleza de conectividad de un puente de cadena cruzada.

El hecho de que blockchain esté descentralizado hace que sea más fácil de defender. Pero los protocolos y el software fueron creados por personas, por lo que es posible que haya debilidades.

Los ataques recientes no están realmente dirigidos a la plataforma blockchain en sí. En cambio, están dirigidos a aplicaciones me gustan los juegos, carteras, intercambiosy puentes.

Estas son aplicaciones web y móviles que usan blockchain, pero aún tienen las mismas fallas de seguridad que el software tradicional porque siguen siendo aplicaciones web y móviles.

Desde principios de año, se han pirateado cuatro puentes entre cadenas, incluidos Wormhole, Ronin, Horizon y Nomad. Ninguno tiene menos de $100 millones de pérdidas.

Cross-chain Bridge ha mejorado la interoperabilidad de blockchain, lo que resulta en una mejor experiencia para los usuarios y desarrolladores de blockchain. Sin embargo, debido a vulnerabilidades específicas, estos puentes han sido recientemente un objetivo popular para los atacantes.