A kriptocoin „tokencsere” Nomad 200 millió dollárt veszít kódolási hiba miatt

Kriptovaluta protokoll nomád (nem tévesztendő össze a Monaddal, amit a PowerShellnek hívtak, amikor először megjelent) maga írja le as "Optimistista interoperabilitási protokoll, amely lehetővé teszi a biztonságos láncok közötti kommunikációt" és megígéri, hogy ez a "Security-first cross-chain messaging protocol."

Egyértelműen angolul, ez állítólag lehetővé teszi, hogy egyfajta kriptovaluta tokeneket cseréljen egy másikra, a szakzsargonban úgy ismert kereskedelemben. áthidaló.

A szolgáltatást egy cég üzemelteti név szerint haladva of Illusory Systems, Inc.

Sajnos, ha a kiberbiztonságról van szó, a szó csalóka úgy tűnik, elég jól illeszkedik.

Valójában, ha most meglátogatja a Nomad „alkalmazás oldalát” [2022-08-02T14:25Z], észre fogja venni, hogy a szolgáltatás teljesen fel van függesztve, és a gomb, amelyet általában az egyik kriptotoken cseréjére használ, helyette a BIDGING UNAVAILABLE szavak:

A cég Twitter hírfolyamaként megjegyzi,:

Frissítés: Éjjel-nappal dolgozunk a helyzet megoldásán, értesítettük a bűnüldözést, és megtartottuk a blokklánc-intelligencia és kriminalisztika vezető cégeit. Célunk az érintett számlák azonosítása, valamint a pénzeszközök nyomon követése és visszaszerzése.

1/2

— Nomád (⤭⛓🏛) (@nomadxyz_) 2. augusztus 2022.

Nyilvánvalóan úgy tűnik, hogy számos ismeretlen személy képes volt olyan tranzakciók sorozatát elindítani, amelyek során hatalmas mennyiségű különféle kriptocoint fizettek ki anélkül, hogy először befizettek volna bármilyen más kriptovalutát.

A kriptovaluta kutató szerint @samczsun, a támadók az úgynevezett a támadás újrajátszása, ami pontosan így hangzik: egyszerűen újra felhasználja egy korábbi tranzakció adatait, de az eredeti címzett számlaadatait lecseréli a sajátjára.

@samczsun szerint a Nomad forráskód legutóbbi frissítése véletlenül megkerülte a kritikus tesztet, amikor a pontrendszer feltette magának a kérdést: „Jóváhagyták ezt a tranzakciót?”

Mindaddig, amíg a tranzakciós adatok megfelelően strukturálva vannak, az átvitel a…

…úgy, hogy egy meglévő tranzakció egyszerű másolása, de csak a „kedvezményezett” mező módosítása bizonyult a legegyszerűbb és legegyszerűbb módja annak, hogy átadja a gyűjteményt és elszívja a pénzeszközöket.

Hanlon borotvája

Valószínűleg elképzelhető, hogy nem mindenki hajlandó elfogadni, hogy ez „csak egy programozási baklövés volt”, jóllehet borzasztóan drága, a jelentések szerint körülbelül 200,000,000 XNUMX XNUMX dollárnyi kriptotoken került ki a rendszerből a @samczsun által leírt módon. „Egy őrült, mindenki számára ingyenes”:

12/ tl;dr egy rutin frissítés a nulla hash-t jelölte meg érvényes gyökérként, ami lehetővé tette az üzenetek hamisítását a Nomadon. A támadók visszaéltek ezzel a tranzakciók másolására/beillesztésére, és gyorsan lemerítették a hidat egy őrjöngő, mindenki számára ingyenes

- samczsun (@samczsun) 2. augusztus 2022.

Néhány Twitterati már használja ezt a szót rugpull, egy pejoratív kifejezés a kriptocoin világában, és arra utal, hogy a kriptovaluta-hack valamiféle belső munka volt, amelyet szándékosan engedélyeztek vagy hajtottak végre. (Az egyértelműség kedvéért nincs bizonyíték ezen felvetések alátámasztására.)

De, mint az ismert elv Hanlon borotvája tréfásan fogalmaz, nem kell rosszindulatot feltételezni, ha a hozzá nem értés alternatív magyarázat.

Mit kell tenni?

Nem igazán tudjuk, hogy mit tanácsoljunk, azon kívül, hogy kétféle óvatosságra intenek:

• Ne siessen csatlakozni az úgynevezett DeFi forradalomhoz. Decentralizált finanszírozás, vagy a Web 3.0, az online kereskedés eszköze, amelynek célja, hogy kiszabaduljon az erősen szabályozott, központosított pénzügyi szolgáltatások hagyományos világából. A DeFi szolgáltatások célja, hogy az egyének közvetlenül és szinte azonnal kereskedjenek egymással online fizetési utasítások révén, amelyeket gyakran speciális programkód formájában fejeznek ki. De a hagyományos pénzügyi insutiókat körülvevő szabályozási keretek nélkül csekély az esélye annak, hogy a baklövést (vagy ami azt illeti, bennfentes csalást követően) visszaszerezze. Ha a cégnek valóban nincs pénze, mert a kiberbűnözők találtak egy kiskaput, és mindent kibírtak, akkor a csőd szinte elkerülhetetlen. Nincs olyan állami helyreállítási alap, amely biztosítaná az alapvető kárpótlást, ahogyan sok országban a mainstream bankoknál van.
• Vigyázzon az öntörvényű helyreállítási szakértőkre, akik kapcsolatba lépnek Önnel egy DeFi-katasztrófa után. A Naked Security webhelyen tapasztalható megjegyzésekkel kapcsolatos csalások egyik leggyakoribb típusa (a megjegyzéseket automatikusan és manuálisan is moderáljuk, hogy megakadályozzuk ezek bejutását) a „kéretlen pénzeszközök visszaszerzésére vonatkozó ajánlás”. Ezek a megjegyzések, amelyek általában azokra a cikkekre irányulnak, amelyekben a kriptocoin-hibákat tárgyaljuk, úgy tesznek, mintha a hozzászóló súlyosan veszített volna egy kriptovaluta csípés miatt, de pénzeszközeinek nagy részét vagy egészét visszaszerezte azáltal, hogy kapcsolatba léptek X céggel, Y egyénnel, vagy Z közösségi médiával. a csalárd pénz-visszatérítési szolgáltatások hamis hirdetései csábítónak tűnhetnek, különösen, ha azt állítják, hogy valamilyen „no-nyertes-no-fee” szolgáltatást kínálnak. Az igazság azonban az, hogy az ilyen álnévtelen támadásokkal elszippantott kriptocoin-alapokat ritkán sikerül visszaszerezni, még akkor sem, ha a bűnüldözés és a bíróságok aktívan részt vesznek benne. Ne dobj jó pénzt rossz után.

Ne feledje: ha túl jól hangzik, hogy igaz legyen, akkor túl szép, hogy igaz legyen.

És ez vonatkozik a kriptográfiai és adatbiztonsági ígéretekre, éppúgy, mint a pénzügyi megtérülésekre.