Kryptocoinin "tunnuksenvaihtaja" Nomad menettää 200 miljoonaa dollaria koodausvirheestä

Kryptovaluuttaprotokolla Nomadi (ei pidä sekoittaa Monadiin, jota PowerShell kutsuttiin, kun se ilmestyi ensimmäisen kerran) kuvaa itseään as "optimistinen yhteentoimivuusprotokolla, joka mahdollistaa turvallisen ketjujen välisen viestinnän" ja lupaa, että se on a "Security-first cross-chain Messaging Protocol."

Selkeän englannin kielellä sen oletetaan antavan sinun vaihtaa yhden tyyppisiä kryptovaluuttatokeneita toisiin kaupassa, joka tunnetaan ammattikielessä nimellä siltana.

Palvelua ylläpitää yritys nimen mukaan of Illusory Systems, Inc.

Valitettavasti mitä tulee kyberturvallisuuteen, sana illusorinen näyttää sopivan melko hyvin.

Itse asiassa, jos vierailet Nomadin "sovellussivulla" juuri nyt [2022-08-02T14:25Z], huomaat, että palvelu on kokonaan keskeytetty, ja painike, jota käytät yleensä vaihtaaksesi kryptotokenin toiseen, korvataan painikkeella. sanat BRIDGING UNAVAILABLE:

Yrityksen Twitter-syötteenä muistiinpanot:

Päivitys: Työskentelemme kellon ympäri tilanteen korjaamiseksi ja olemme ilmoittaneet lainvalvontaviranomaisille ja säilyttäneet johtavia lohkoketjutiedon ja rikosteknisten yrityksiä. Tavoitteenamme on tunnistaa asiaan liittyvät tilit sekä jäljittää ja periä varat.

1/2

— Nomad (⤭⛓🏛) (@nomadxyz_) Elokuu 2, 2022

Selvästi sanottuna näyttää siltä, ​​​​että monet tuntemattomat henkilöt pystyivät käynnistämään sarjan tapahtumia, jotka maksoivat valtavan määrän erilaisia ​​kryptokolikoita maksamatta ensin vastaavaa määrää mitään muuta kryptovaluuttaa.

Kryptovaluuttatutkijan mukaan @samczsun, hyökkääjät onnistuivat nappaamaan varat käyttämällä niin kutsuttua a uusintahyökkäys, miltä se kuulostaa: käytät yksinkertaisesti uudelleen aiemman tapahtuman tietoja, mutta alkuperäisen vastaanottajan tilitiedot on korvattu omillasi.

@samczsunin mukaan Nomad-lähdekoodin äskettäinen päivitys ohitti vahingossa kriittisen testin, kun pistejärjestelmä kysyi itseltään: "Onko tämä tapahtuma hyväksytty?"

Niin kauan kuin tapahtumatiedot olivat oikein jäsenneltyjä, siirto tapahtuisi…

…joten pelkkä olemassa olevan tapahtuman kopioiminen, mutta vain "maksunsaaja"-kentän muokkaaminen, osoittautui yksinkertaisimmaksi ja helpoimmaksi tavaksi kerätä ja tyhjentää varat.

Hanlonin partakone

Kuten luultavasti voitte kuvitella, kaikki eivät ole valmiita hyväksymään, että tämä oli "vain ohjelmointivirhe", vaikkakin hirvittävän kallis virhe. Raporttien mukaan noin 200,000,000 XNUMX XNUMX dollaria salaustokeneja iilitii järjestelmästä @samczsunin kuvauksessa. “kiihkeä ilmainen kaikille”:

12/ tl;dr rutiinipäivitys merkitsi nollahajautusarvon kelvolliseksi juuriksi, mikä vaikutti siihen, että viestit voitiin huijata Nomadille. Hyökkääjät käyttivät tätä väärin kopioidakseen/liittääkseen tapahtumia ja tyhjennivät nopeasti sillan kiihkeässä maksuttomassa kaupassa

- samczsun (@samczsun) Elokuu 2, 2022

Jotkut Twitteratit käyttävät jo sanaa rugpull, halventava ilmaus kryptocoinien maailmassa, jota käytetään viittaamaan siihen, että kryptovaluuttahakkerointi oli jonkinlainen sisäinen työ, joka on sallittu tai tehty tarkoituksella. (Ollakseni selvää, ei ole todisteita näiden ehdotusten tueksi.)

Mutta periaatteena, joka tunnetaan ns Hanlonin partakone nauravasti ilmaistaan, ei ole tarvetta olettaa ilkeyttä, kun epäpätevyys on vaihtoehtoinen selitys.

Mitä tehdä?

Emme todellakaan tiedä, mitä neuvoja tarjoamme, paitsi että vaadimme kahdenlaista varovaisuutta:

• Älä kiirehdi liittymään niin kutsuttuun DeFi-vallankumoukseen. Hajautettu rahoitus, tai Web 3.0, on verkkokaupankäynnin väline, jonka tarkoituksena on paeta perinteisestä pitkälle säänneltyjen keskitettyjen rahoituspalvelujen maailmasta. DeFi-palveluiden tavoitteena on antaa henkilöille mahdollisuus käydä kauppaa suoraan ja lähes välittömästi toistensa kanssa verkkomaksuohjeiden kautta, jotka usein ilmaistaan ​​erikoisohjelmakoodina. Mutta ilman perinteisiä rahoitushäiriöitä ympäröivää sääntelykehystä mahdollisuutesi saada rahat takaisin virheiden (tai sisäpiiririkosten jälkeen) ovat pienet. Jos yrityksellä ei todellakaan ole rahaa jäljellä, koska kyberrikolliset löysivät porsaanreiän ja selviytyivät kaikesta, konkurssi on lähes väistämätön. Ei ole olemassa valtion elvytysrahastoa, joka tarjoaisi peruskorvauksia, kuten monissa maissa on valtavirtapankeilla.
• Varo itsekkäitä toipumisasiantuntijoita, jotka ottavat sinuun yhteyttä DeFi-katastrofin jälkeen. Yksi yleisimmistä Naked Security -sivustolla näkemistämme kommenttihuijauksista (valvomme kommentteja sekä automaattisesti että manuaalisesti estääksemme niiden pääsyn läpi) on "ei-toivottujen varojen palautuskertomus". Nämä kommentit, jotka on yleensä suunnattu artikkeleihin, joissa keskustelemme kryptokolikoiden virheistä, teeskentelevät, että kommentoija hävisi pahasti kryptovaluutan pistossa, mutta sai kuitenkin takaisin suurimman osan tai kaikki varoistaan ​​ottamalla yhteyttä yritykseen X, yksityishenkilöön Y tai sosiaalisen median tiliin Z. Nämä petollisten rahat takaisin -palveluiden väärennetyt mainokset voivat kuulostaa houkuttelevalta, varsinkin jos ne väittävät tarjoavansa jonkinlaista "ei voita-ei-maksua" -palvelua. Totuus on kuitenkin, että tällaisissa pseudo-anonyymeissä hyökkäyksissä vietyjä kryptokolikonvaroja saadaan harvoin takaisin, vaikka lainvalvonta ja tuomioistuimet ovat aktiivisesti mukana. Älä heitä hyvää rahaa huonon perään.

Muistaa: jos se kuulostaa liian hyvältä ollakseen totta, se ON liian hyvää ollakseen totta.

Ja tämä koskee salaus- ja tietoturvalupauksia, aivan yhtä paljon kuin taloudellista tuottoa.