Protocolo de criptomonedas Nómada (no debe confundirse con Monad, que es como se llamaba PowerShell cuando salió por primera vez) se describe as “un protocolo de interoperabilidad optimista que permite una comunicación segura entre cadenas”, y promete que es un "Protocolo de mensajería de cadena cruzada que prioriza la seguridad".
En lenguaje sencillo, se supone que le permite intercambiar tokens de criptomonedas de un tipo por otro, en un intercambio conocido en la jerga como puente.
El servicio es operado por una empresa. pasando por el nombre of Sistemas Ilusorios, Inc.
Desafortunadamente, cuando se trata de ciberseguridad, la palabra ilusorio parece encajar bastante bien.
De hecho, si visita la "página de la aplicación" de Nomad en este momento [2022-08-02T14:25Z], notará que el servicio está completamente suspendido, con el botón que normalmente usaría para cambiar un token criptográfico por otro reemplazado por las palabras PUENTE NO DISPONIBLE:
Como el feed de Twitter de la empresa. reconoce:
Actualización: estamos trabajando las XNUMX horas para abordar la situación y hemos notificado a las fuerzas del orden público y hemos contratado a empresas líderes para la inteligencia y el análisis forense de blockchain. Nuestro objetivo es identificar las cuentas involucradas y rastrear y recuperar los fondos.
1/2
— Nómada (⤭⛓🏛) (@nomadxyz_) 2 de agosto de 2022
Dicho claramente, parece que numerosas personas desconocidas pudieron desencadenar una serie de transacciones que pagaron una enorme cantidad de varias criptomonedas, sin pagar primero una cantidad equivalente de ninguna otra criptomoneda.
Según el investigador de criptomonedas @samczsun, los atacantes pudieron apoderarse de los fondos utilizando lo que se conoce como ataque de repetición, que es exactamente lo que parece: simplemente reutiliza los datos de una transacción anterior, pero con los detalles de la cuenta del destinatario original reemplazados por los suyos.
Según @samczsun, una actualización reciente en el código fuente de Nomad omitió inadvertidamente la prueba crítica en el momento en que el sistema se preguntó: "¿Se aprobó esta transacción?"
Siempre que los datos de la transacción estuvieran correctamente estructurados, la transferencia se realizaría...
… de modo que simplemente copiar una transacción existente, pero modificando solo el campo "beneficiario", resultó ser la forma más simple y fácil de aprobar y drenar fondos.
Navaja de Hanlon
Como probablemente pueda imaginar, no todos están listos para aceptar que esto fue "solo un error de programación", aunque terriblemente costoso, con informes que sugieren que se extrajeron del sistema alrededor de $ 200,000,000 en tokens criptográficos en lo que @samczsun describió como “un frenético todos contra todos”:
12/ tl;dr una actualización de rutina marcó el hash cero como una raíz válida, lo que tuvo el efecto de permitir que los mensajes se suplantaran en Nomad. Los atacantes abusaron de esto para copiar/pegar transacciones y rápidamente vaciaron el puente en una frenética lucha contra todos.
- samczsun (@samczsun) 2 de agosto de 2022
Algunos twitterati ya están usando la palabra tirar de la alfombra, una frase peyorativa en el mundo de las criptomonedas, utilizada para implicar que un hackeo de criptomonedas era una especie de trabajo interno, habilitado o realizado a propósito. (Para ser claros, no hay evidencia que respalde ninguna de estas sugerencias).
Pero, como un principio conocido como Navaja de Hanlon dice jocosamente, no hay necesidad de asumir malicia cuando la incompetencia es una explicación alternativa.
¿Qué hacer?
Realmente no sabemos qué consejo ofrecer, aparte de instar a dos tipos de precaución:
- No tengas prisa por unirte a la llamada revolución DeFi. Finanzas descentralizadas, o Web 3.0, es un vehículo para el comercio en línea que pretende escapar del mundo tradicional de los servicios financieros centralizados y altamente regulados. Los servicios de DeFi tienen como objetivo permitir que las personas realicen transacciones directas y casi inmediatas entre sí a través de instrucciones de pago en línea, a menudo expresadas en forma de código de programa especializado. Pero sin los marcos regulatorios que rodean a las instituciones financieras tradicionales, sus posibilidades de recuperar dinero después de errores garrafales (o, para el caso, después de la picardía interna) son escasas. Si a la empresa realmente no le queda dinero porque los ciberdelincuentes encontraron un vacío legal y se lo llevaron todo, entonces la bancarrota es casi inevitable. No existe un fondo de recuperación del gobierno para proporcionar una restitución básica, como ocurre con los principales bancos en muchos países.
- Tenga cuidado con los autodenominados expertos en recuperación que se ponen en contacto con usted después de una catástrofe de DeFi. Uno de los tipos más comunes de estafa de comentarios que vemos en el sitio de Naked Security (moderamos los comentarios de forma automática y manual en un esfuerzo por evitar que lleguen) es el "testimonio de recuperación de fondos no solicitados". Estos comentarios, generalmente dirigidos a artículos en los que discutimos los errores de las criptomonedas, pretenden que el comentarista perdió mucho en una trampa de criptomonedas, pero recuperó la mayoría o la totalidad de sus fondos al comunicarse con la empresa X, el individuo Y o la cuenta de redes sociales Z. Estos los anuncios falsos de servicios fraudulentos de devolución de dinero pueden sonar tentadores, especialmente si afirman ofrecer algún tipo de servicio de "no ganar-no-tarifa". Sin embargo, la verdad es que los fondos de criptomonedas desviados en ataques pseudoanónimos de este tipo rara vez se recuperan, incluso cuando las fuerzas del orden y los tribunales están activamente involucrados. No tires el dinero bueno después del malo.
Recuerde: si suena demasiado bueno para ser verdad, ES demasiado bueno para ser verdad.
Y eso se aplica a las promesas de seguridad criptográfica y de datos, tanto como a los rendimientos financieros.
- blockchain
- Coingenius
- cryptocoin
- criptomoneda
- carteras de criptomonedas
- intercambio crypto
- criptografía
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- DeFi
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- Seguridad desnuda
- NexBLOC
- NOMAD
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- vulnerabilidad
- seguridad del sitio web
- zephyrnet
![T3 Ep93: Seguridad de la oficina, costos de infracciones y parches tranquilos [Audio + Texto] Inteligencia de datos de PlatoBlockchain. Búsqueda vertical. Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/s3-ep93-1200-300x157.png "T3 Ep93: Seguridad en la oficina, costos de infracciones y parches tranquilos [Audio + Texto]")
![T3 Ep120: Cuando las criptomonedas falsas simplemente no se sueltan [Audio + Texto]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep120-when-dud-crypto-simply-wont-let-go-audio-text-300x157.png "T3 Ep120: Cuando las criptomonedas falsas simplemente no se sueltan [Audio + Texto]")
![T3 Ep105: ¡WONTFIX! El cryptofail de MS Office que "no es una falla de seguridad" [Audio + Texto] PlatoBlockchain Data Intelligence. Búsqueda vertical. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/pic-1200-360x188.png "T3 Ep105: ¡WONTFIX! El cryptofail de MS Office que “no es una falla de seguridad” [Audio + Texto]")
![T3 Ep101: Infracciones de Uber y LastPass: ¿es 2FA todo lo que parece? [Audio + Texto] PlatoBlockchain Inteligencia de Datos. Búsqueda vertical. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/s3-ep101-1200-360x188.jpg "T3 Ep101: Infracciones de Uber y LastPass: ¿es 2FA todo lo que parece? [Audio + Texto]")
