Cryptocoin "token swapper" Nomad taber 200 millioner dollars i kodningsbommert

Kryptovaluta protokol Nomad (ikke at forveksle med Monad, som PowerShell hed, da den først udkom) beskriver sig selv as "en optimistisk interoperabilitetsprotokol, der muliggør sikker kommunikation på tværs af kæder," og lover at det er en "sikkerhed-først cross-chain messaging-protokol."

På almindeligt engelsk skal det give dig mulighed for at bytte kryptovaluta-tokens af en slags med en anden, i en handel kendt i jargonen som brodannelse.

Tjenesten drives af en virksomhed går under navnet of Illusory Systems, Inc.

Desværre, når det kommer til cybersikkerhed, ordet illusoriske synes at passe ret godt.

Faktisk, hvis du besøger Nomad "app-siden" lige nu [2022-08-02T14:25Z], vil du bemærke, at tjenesten er fuldstændig suspenderet, med den knap, du normalt ville bruge til at bytte en kryptotoken med en anden erstattet med ordene BRIDGING UTILGÆNGELIG:

Som virksomhedens Twitter-feed noter:

Opdatering: Vi arbejder døgnet rundt for at løse situationen og har underrettet retshåndhævelsen og beholdt førende firmaer inden for blockchain-efterretning og efterforskning. Vores mål er at identificere de involverede konti og at spore og inddrive midlerne.

1/2

— Nomad (⤭⛓🏛) (@nomadxyz_) August 2, 2022

Klart fortalt ser det ud til, at adskillige ukendte personer var i stand til at udløse en række transaktioner, der udbetalte en enorm mængde forskellige kryptomønter, uden først at indbetale et tilsvarende beløb af nogen anden kryptovaluta.

Ifølge cryptocurrency-forsker @samczsun, var angriberne i stand til at få fat i midlerne ved at bruge det, der er kendt som en replay angreb, hvilket er præcis, hvad det lyder som: du genbruger blot data fra en tidligere transaktion, men med den oprindelige modtagers kontooplysninger erstattet med dine egne.

Ifølge @samczsun omgik en nylig opdatering i Nomad-kildekoden utilsigtet den kritiske test, da punktsystemet spurgte sig selv: "Er denne transaktion blevet godkendt?"

Så længe transaktionsdataene var korrekt struktureret, ville overførslen gå igennem...

…så at blot kopiering af en eksisterende transaktion, men blot at ændre "betalingsmodtager"-feltet, viste sig at være den enkleste og nemmeste måde at samle og dræne penge på.

Hanlons barbermaskine

Som du sikkert kan forestille dig, er det ikke alle, der er klar til at acceptere, at dette "bare var en programmeringsbommert", omend en frygtelig dyr en, med rapporter, der tyder på, at omkring $200,000,000 i kryptotokens blev udledt fra systemet i, hvad @samczsun beskrev som "en vanvittig fri for alle":

12/ tl;dr markerede en rutineopgradering nul-hashen som en gyldig rod, hvilket havde den effekt, at beskeder blev forfalsket på Nomad. Angribere misbrugte dette til at kopiere/indsætte transaktioner og tømte hurtigt broen i en vanvittig fri for alle

- samczsun (@samczsun) August 2, 2022

Nogle Twitterati bruger allerede ordet rugpull, en nedsættende sætning i kryptomøntverdenen, plejede at antyde, at et hacking af kryptovaluta var en slags internt job, aktiveret eller udført med vilje. (For at være klar, er der ingen beviser, der understøtter nogen af ​​disse forslag.)

Men som et princip kendt som Hanlons barbermaskine spøgefuldt siger det, er der ingen grund til at antage ondskab, når inkompetence er en alternativ forklaring.

Hvad skal jeg gøre?

Vi ved ikke rigtig, hvilke råd vi skal give, udover at opfordre til to slags forsigtighed:

• Du skal ikke have travlt med at deltage i den såkaldte DeFi-revolution. Decentral økonomi, eller Web 3.0, er et værktøj til onlinehandel, der har til formål at flygte fra den traditionelle verden af ​​stærkt regulerede, centraliserede finansielle tjenester. DeFi-tjenester har til formål at give enkeltpersoner mulighed for at handle direkte og næsten øjeblikkeligt med hinanden gennem online betalingsinstruktioner, ofte udtrykt i form af specialiseret programkode. Men uden de lovgivningsmæssige rammer, der omgiver traditionelle finansielle institutioner, er dine chancer for at få penge tilbage efter fejltagelser (eller for den sags skyld efter insider-slyngel) små. Hvis virksomheden reelt ikke har nogen penge tilbage, fordi cyberkriminelle fandt et smuthul og slap med det hele, så er konkurs næsten uundgåelig. Der er ingen statslig inddrivelsesfond til at yde grundlæggende restitution, som der er med almindelige banker i mange lande.
• Pas på selvudnævnte restitutionseksperter, der kontakter dig efter en DeFi-katastrofe. En af de mest almindelige typer af kommentarsvindel, vi ser på Naked Security-webstedet (vi modererer kommentarer både automatisk og manuelt i et forsøg på at forhindre, at disse kommer igennem) er "uopfordrede midler til inddrivelse af testimonial". Disse kommentarer, der sædvanligvis er rettet mod artikler, hvor vi diskuterer kryptomønt-bommerter, foregiver, at kommentatoren tabte dårligt i et kryptovalutastik, men alligevel fik de fleste eller alle deres penge tilbage ved at kontakte firma X, eller individuel Y eller social mediekonto Z. Disse kommentarer falske annoncer for svigagtige penge-tilbage-tjenester kan lyde fristende, især hvis de hævder at tilbyde en slags "no-win-no-fee"-tjeneste. Sandheden er imidlertid, at kryptomøntmidler, der er blevet udtaget i pseudo-anonyme angreb af denne art, sjældent genvindes, selv når retshåndhævelse og domstolene er aktivt involveret. Kast ikke gode penge efter dårlige.

Husk: hvis det lyder for godt til at være sandt, ER det for godt til at være sandt.

Og det gælder løfter om kryptografisk og datasikkerhed, lige så meget som det gælder for økonomiske afkast.