- El incidente de Nomad es el tercer hack de criptomonedas más grande del año, detrás de Wormhole y Ronin
- Alrededor de 41 direcciones desviaron criptomonedas del protocolo
Token Bridge Nomad ha sufrido un "frenético combate libre" después de que los atacantes asaltaran el protocolo por más de $ 190 millones en criptomonedas.
Nomad, que se comercializó como una plataforma de "primero la seguridad" para enviar tokens ERC-20 entre cadenas de bloques compatibles, confirmó la redada en un tuit del martes por la mañana.
El incidente difiere de otros hacks a gran escala para paralizar puentes de tokens este año. Los puentes de tokens permiten a los usuarios de criptomonedas portar activos digitales a través de redes encerrándolos primero dentro de un contrato inteligente.
Luego, el puente emite un token derivado, un "activo envuelto", en el otro lado, con sus valores respaldados por sus depósitos originales. Nomad es compatible con Ethereum, Avalanche, Evmos y Moonbeam.
El hackeo de Wormhole de febrero vio a los atacantes explotar el código de contrato inteligente defectuoso para acuñar $ 320 millones en Wrapped Ether sin publicar la garantía requerida.
El ataque al puente Axie Infinite Ronin, revelado en marzo, involucró una campaña de phishing de meses de duración para adquirir claves privadas asociadas con su billetera multisig, lo que resultó en el robo de unos $ 625 millones en criptografía (ambos incidentes valorados en el momento del ataque).
Pero Sam Sun, jefe de seguridad de la firma de inversión en activos digitales Paradigm, explicó en un hilo de Twitter que los ladrones de Nomad no necesitaban saber nada sobre el lenguaje de programación Ethereum Solidity para hacerse con la garantía del usuario.
El hacker de Rari Capital volvió a atacar a Nomad
Los desarrolladores de Nomad habían impulsado accidentalmente una actualización de rutina que le decía al protocolo que procesara cualquier transacción con el hash raíz predeterminado de "0x00", donde generalmente las redes blockchain requieren una raíz única y específica como prueba de que la transacción es válida.
Esto significaba que Nomad aprobaría efectivamente cualquier transacción enviada al protocolo. Después de que un atacante realizara e iniciara grandes transferencias ilícitas, otros usuarios simplemente copiaron y pegaron su secuencia de comandos de transacción y reemplazaron la dirección del receptor con la suya propia, explicó Victor Young, arquitecto jefe de la red de interoperabilidad Analog.
Para Young, una ventaja clave de las plataformas de contratos inteligentes, como las que impulsan a Nomad, es que son sistemas completos de Turing. Pueden calcular “prácticamente todo lo que una computadora digital moderna puede hacer desde un punto de vista matemático”, dijo Young.
“Desafortunadamente, esto introduce innumerables y desconocidos vectores de ataque que abren el contrato inteligente a los piratas informáticos”, dijo Young a Blockworks. “Cuando combinas esto con desarrolladores laxos que no logran implementar un conjunto sólido de mecanismos de prueba, obtienes el colapso ridículo que estamos presenciando actualmente”.
Young prescribió otras plataformas de blockchain para pruebas de extremo a extremo y auditorías de código repetidas para ayudar a mitigar el riesgo de que esto suceda en otros lugares.
Empresa de seguridad de cadena de bloques PeckShield reportaron alrededor de 41 direcciones habían allanado Nomad, una mezcla de Wrapped Bitcoin y Wrapped Ether junto con las monedas estables DAI y USDC.
En particular, la misma dirección asociada con Rari Capital corte a fines de abril, se dijo que robó USD 3.4 millones en criptomonedas. Quedan menos de $ 12,000 en los contratos inteligentes de Nomad, frente a los más de $ 190 millones antes de la redada, por Llama DeFi.
El incidente de Nomad es ahora el tercer hackeo más grande del año, detrás de Wormhole y Ronin. No está claro qué sigue para la firma.
Tanto los equipos de Wormhole como los de Axie Infinite recaudaron capital de riesgo en un intento por hacer que tanto sus usuarios como sus protocolos se completaran después de sus respectivos ataques. Blockworks se ha comunicado con Nomad para obtener más información sobre sus planes.
Reciba las mejores noticias e información sobre criptografía del día en su bandeja de entrada todas las noches. Suscríbase al boletín gratuito de Blockworks ahora.
Fuente: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/