Peretas menghabiskan hampir $200 juta dari startup crypto Nomad

Peretas menghabiskan hampir $200 juta dalam cryptocurrency dari Nomad, alat yang memungkinkan pengguna menukar token dari satu blockchain ke blockchain lainnya, dalam serangan lain yang menyoroti kelemahan dalam ruang keuangan terdesentralisasi.

Nomad mengakui eksploitasi itu dalam sebuah tweet Senin malam.

“Kami mengetahui insiden yang melibatkan jembatan token Nomad,” kata startup tersebut. “Kami sedang menyelidiki dan akan memberikan pembaruan ketika kami memilikinya.”

Tidak sepenuhnya jelas bagaimana serangan itu diatur, atau apakah Nomad berencana untuk mengganti uang pengguna yang kehilangan token dalam serangan itu. Perusahaan, yang memasarkan dirinya sebagai layanan "pesan lintas rantai yang aman", tidak segera dapat dimintai komentar ketika dihubungi oleh CNBC.

Pakar keamanan Blockchain menggambarkan eksploitasi itu sebagai "gratis untuk semua." Siapa pun yang memiliki pengetahuan tentang eksploitasi dan cara kerjanya dapat memanfaatkan kelemahan tersebut dan menarik sejumlah token dari Nomad — seperti mesin ATM yang memuntahkan uang dengan menekan tombol.

Ini dimulai dengan peningkatan ke kode Nomad. Satu bagian dari kode ditandai sebagai valid setiap kali pengguna memutuskan untuk melakukan transfer, yang memungkinkan pencuri untuk menarik lebih banyak aset daripada yang disimpan ke dalam platform. Begitu penyerang lain mengetahui apa yang sedang terjadi, mereka mengerahkan pasukan bot untuk melakukan serangan peniru.

“Tanpa pengalaman pemrograman sebelumnya, pengguna mana pun dapat dengan mudah menyalin data panggilan transaksi penyerang asli dan mengganti alamatnya dengan alamat mereka untuk mengeksploitasi protokol,” kata Victor Young, pendiri dan kepala arsitek startup kripto Analog.

“Tidak seperti serangan sebelumnya, peretasan Nomad menjadi gratis untuk semua di mana banyak pengguna mulai menguras jaringan hanya dengan memutar ulang data panggilan transaksi penyerang asli.”

Sam Sun, mitra peneliti di perusahaan investasi yang berfokus pada crypto, Paradigm, dijelaskan eksploitasi sebagai “salah satu peretasan paling kacau yang pernah dilihat Web3” — Web3 menjadi iterasi hipotetis masa depan dari internet yang dibangun di sekitar teknologi blockchain.

Nomad adalah apa yang dikenal sebagai “jembatan”, alat yang memungkinkan pengguna bertukar token dan informasi antara jaringan kripto yang berbeda. Mereka digunakan sebagai alternatif untuk melakukan transaksi langsung di blockchain seperti Ethereum, yang dapat membebankan biaya pemrosesan yang tinggi kepada pengguna saat ada banyak aktivitas yang terjadi sekaligus.

Contoh kerentanan dan desain yang buruk telah membuat jembatan menjadi target utama bagi peretas yang ingin menipu jutaan investor. Lebih dari $ 1 miliar aset kripto telah dicuri melalui eksploitasi jembatan sejauh ini pada tahun 2022, menurut laporan dari perusahaan kepatuhan kripto Elliptic.

Pada bulan April, jembatan blockchain yang disebut Ronin dieksploitasi di a $600 juta pencurian kripto, yang oleh para pejabat AS sejak itu dikaitkan dengan negara Korea Utara. Beberapa bulan kemudian, Harmony, jembatan lain, menghabiskan $100 juta dalam serangan serupa.

Seperti Ronin dan Harmony, Nomad ditargetkan melalui kesalahan dalam kodenya — tetapi ada beberapa perbedaan. Dengan serangan itu, peretas dapat mengambil kunci pribadi yang diperlukan untuk mendapatkan kendali atas jaringan dan mulai memindahkan token. Dalam kasus Nomad, jauh lebih sederhana dari itu. Pembaruan rutin pada jembatan memungkinkan pengguna untuk melakukan transaksi dan menghasilkan uang kripto senilai jutaan.