- Insiden Nomad adalah peretasan cryptocurrency terbesar ketiga tahun ini, di belakang Wormhole dan Ronin
- Sekitar 41 alamat menyedot cryptocurrency dari protokol
Token bridge Nomad telah mengalami "kegilaan gratis untuk semua" setelah penyerang menyerbu protokol untuk lebih dari $ 190 juta dalam cryptocurrency.
Nomad, yang memasarkan dirinya sebagai platform “keamanan-pertama” untuk mengirim token ERC-20 antara blockchain yang kompatibel, mengkonfirmasi serangan itu dalam tweet Selasa pagi.
Insiden itu berbeda dari peretasan skala besar lainnya untuk melumpuhkan jembatan token tahun ini. Jembatan token memungkinkan pengguna crypto untuk mem-port aset digital melalui jaringan dengan terlebih dahulu menguncinya di dalam kontrak pintar.
Bridge kemudian mengeluarkan token derivatif, "aset terbungkus", di sisi lain, dengan nilai yang didukung oleh simpanan aslinya. Nomad mendukung Ethereum, Avalanche, Evmos dan Moonbeam.
Peretasan Wormhole Februari melihat penyerang mengeksploitasi kode kontrak pintar buggy untuk mencetak sendiri $320 juta dalam Wrapped Ether tanpa memposting agunan yang diperlukan.
Serangan jembatan Axie Infinite Ronin, diungkapkan pada bulan Maret, melibatkan kampanye phishing selama berbulan-bulan untuk memperoleh kunci pribadi yang terkait dengan dompet multisig-nya, yang mengakibatkan sekitar $625 juta crypto dicuri (kedua insiden tersebut dinilai pada saat serangan).
Tetapi Sam Sun, kepala keamanan di perusahaan investasi aset digital Paradigm, menjelaskan di utas Twitter bahwa pencuri Nomad tidak perlu tahu apa-apa tentang bahasa pemrograman Ethereum Solidity untuk kabur dengan jaminan pengguna.
Peretas Rari Capital kembali menyerang Nomad
Pengembang Nomad secara tidak sengaja mendorong peningkatan rutin yang memberi tahu protokol untuk memproses transaksi apa pun dengan hash root default “0x00,” di mana biasanya jaringan blockchain memerlukan root yang unik dan spesifik sebagai bukti bahwa transaksi tersebut valid.
Ini berarti Nomad akan secara efektif menyetujui setiap transaksi yang diajukan ke protokol. Setelah penyerang menyadari dan memulai transfer gelap besar, pengguna lain hanya menyalin-tempel skrip transaksi mereka dan mengganti alamat penerima dengan alamat mereka sendiri, jelas Victor Young, kepala arsitek di jaringan interoperabilitas Analog.
Bagi Young, keuntungan utama dari platform kontrak pintar, seperti yang mendukung Nomad, adalah bahwa mereka adalah sistem yang lengkap dengan Turing. Mereka dapat menghitung "hampir semua yang dapat dilakukan komputer digital modern dari sudut pandang matematika," kata Young.
“Sayangnya, ini memperkenalkan vektor serangan yang tak terhitung jumlahnya dan tidak diketahui yang membuka kontrak pintar untuk diretas,” kata Young kepada Blockworks. “Ketika Anda menggabungkan ini dengan pengembang lemah yang gagal menerapkan serangkaian mekanisme pengujian yang kuat, Anda mendapatkan kehancuran konyol yang saat ini kita saksikan.”
Young meresepkan pengujian ujung-ke-ujung platform blockchain lainnya dan audit kode berulang untuk membantu mengurangi risiko hal ini terjadi di tempat lain.
Perusahaan keamanan Blockchain PeckShield melaporkan sekitar 41 alamat telah menyerbu Nomad, campuran Wrapped Bitcoin dan Wrapped Ether bersama stablecoin DAI dan USDC.
Khususnya, alamat yang sama yang terkait dengan Rari Capital terjangan pada akhir April dikatakan telah mencuri $3.4 juta dalam cryptocurrency. Kurang dari $12,000 tersisa dalam kontrak pintar Nomad, turun dari lebih dari $190 juta sebelum penggerebekan, per DeFi Lama.
Insiden Nomad sekarang menjadi peretasan terbesar ketiga tahun ini, di belakang Wormhole dan Ronin. Tidak jelas apa yang akan terjadi selanjutnya untuk perusahaan.
Baik tim Wormhole dan Axie Infinite mengumpulkan modal ventura dalam upaya untuk membuat pengguna dan protokol mereka utuh mengikuti peretasan masing-masing. Blockworks telah menghubungi Nomad untuk mempelajari lebih lanjut tentang rencana mereka.
Dapatkan berita dan wawasan crypto teratas hari ini yang dikirimkan ke kotak masuk Anda setiap malam. Berlangganan buletin gratis Blockworks sekarang.
Sumber: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/