- El incidente de Nomad es el tercer hack de criptomonedas más grande del año, detrás de Wormhole y Ronin
- Alrededor de 41 direcciones desviaron criptomonedas del protocolo
Token Bridge Nomad ha sufrido un "frenético combate libre" después de que los atacantes asaltaran el protocolo por más de $ 190 millones en criptomonedas.
Nomad, que se comercializó como una plataforma de "primero la seguridad" para enviar tokens ERC-20 entre cadenas de bloques compatibles, confirmó la redada en un tuit del martes por la mañana.
El incidente difiere de otros hacks a gran escala para paralizar puentes de tokens este año. Los puentes de tokens permiten a los usuarios de criptomonedas portar activos digitales a través de redes encerrándolos primero dentro de un contrato inteligente.
Luego, el puente emite un token derivado, un "activo envuelto", en el otro lado, con sus valores respaldados por sus depósitos originales. Nomad es compatible con Ethereum, Avalanche, Evmos y Moonbeam.
El hackeo de Wormhole de febrero vio a los atacantes explotar el código de contrato inteligente defectuoso para acuñar $ 320 millones en Wrapped Ether sin publicar la garantía requerida.
El ataque al puente Axie Infinite Ronin, revelado en marzo, involucró una campaña de phishing de meses de duración para adquirir claves privadas asociadas con su billetera multisig, lo que resultó en el robo de unos $ 625 millones en criptografía (ambos incidentes valorados en el momento del ataque).
Pero Sam Sun, jefe de seguridad de la firma de inversión en activos digitales Paradigm, explicó en un hilo de Twitter que los ladrones de Nomad no necesitaban saber nada sobre el lenguaje de programación Ethereum Solidity para hacerse con la garantía del usuario.
El hacker de Rari Capital volvió a atacar a Nomad
Los desarrolladores de Nomad habían impulsado accidentalmente una actualización de rutina que le decía al protocolo que procesara cualquier transacción con el hash raíz predeterminado de "0x00", donde generalmente las redes blockchain requieren una raíz única y específica como prueba de que la transacción es válida.
Esto significaba que Nomad aprobaría efectivamente cualquier transacción enviada al protocolo. Después de que un atacante realizara e iniciara grandes transferencias ilícitas, otros usuarios simplemente copiaron y pegaron su secuencia de comandos de transacción y reemplazaron la dirección del receptor con la suya propia, explicó Victor Young, arquitecto jefe de la red de interoperabilidad Analog.
Para Young, una ventaja clave de las plataformas de contratos inteligentes, como las que impulsan a Nomad, es que son sistemas completos de Turing. Pueden calcular “prácticamente todo lo que una computadora digital moderna puede hacer desde un punto de vista matemático”, dijo Young.
“Desafortunadamente, esto introduce innumerables y desconocidos vectores de ataque que abren el contrato inteligente a los piratas informáticos”, dijo Young a Blockworks. “Cuando combinas esto con desarrolladores laxos que no logran implementar un conjunto sólido de mecanismos de prueba, obtienes el colapso ridículo que estamos presenciando actualmente”.
Fuente: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/