Cryptocoin “token swapper” Nomad kehilangan $200 juta dalam kesalahan pengkodean

Protokol mata uang kripto Pengembara (jangan bingung dengan Monad, itulah sebutan PowerShell saat pertama kali diluncurkan) menggambarkan dirinya sendiri as “protokol interoperabilitas optimis yang memungkinkan komunikasi lintas rantai yang aman,” dan berjanji bahwa itu adalah “protokol perpesanan lintas-rantai keamanan-pertama.”

Dalam bahasa Inggris biasa, itu seharusnya memungkinkan Anda menukar token cryptocurrency dari satu jenis ke yang lain, dalam perdagangan yang dikenal dalam jargon sebagai menjembatani.

Layanan ini dioperasikan oleh perusahaan pergi dengan nama of Sistem Ilusi, Inc.

Sayangnya, ketika berbicara tentang keamanan siber, kata ilusi tampaknya cukup cocok.

Memang, jika Anda mengunjungi “halaman aplikasi” Nomad sekarang [2022-08-02T14:25Z], Anda akan melihat bahwa layanan tersebut sepenuhnya ditangguhkan, dengan tombol yang biasanya Anda gunakan untuk menukar satu cryptotoken dengan yang lain diganti dengan kata-kata JEMBATAN TIDAK TERSEDIA:

Sebagai umpan Twitter perusahaan catatan:

Pembaruan: Kami bekerja sepanjang waktu untuk mengatasi situasi dan telah memberi tahu penegak hukum dan mempertahankan perusahaan terkemuka untuk intelijen dan forensik blockchain. Tujuan kami adalah untuk mengidentifikasi akun yang terlibat dan untuk melacak dan memulihkan dana.

1/2

— Pengembara (⤭⛓🏛) (@nomadxyz_) 2 Agustus 2022

Diceritakan dengan jelas, sepertinya banyak orang yang tidak dikenal dapat memicu serangkaian transaksi yang membayar sejumlah besar berbagai cryptocoin, tanpa terlebih dahulu membayar dalam jumlah yang setara dengan cryptocurrency lainnya.

Menurut peneliti cryptocurrency @septianjoko_, para penyerang dapat mengambil dana tersebut dengan menggunakan apa yang dikenal sebagai serangan replay, persis seperti apa bunyinya: Anda cukup menggunakan kembali data dari transaksi sebelumnya, tetapi dengan detail akun penerima asli diganti dengan milik Anda.

Menurut @samczsun, pembaruan terbaru dalam kode sumber Nomad secara tidak sengaja melewati tes kritis pada saat sistem bertanya pada dirinya sendiri, "Apakah transaksi ini telah disetujui?"

Selama data transaksi terstruktur dengan benar, transfer akan melalui…

…sehingga hanya menyalin transaksi yang ada, tetapi hanya memodifikasi bidang “penerima pembayaran”, ternyata menjadi cara paling sederhana dan termudah untuk mengumpulkan dan menguras dana.

Pisau Cukur Hanlon

Seperti yang mungkin dapat Anda bayangkan, tidak semua orang siap menerima bahwa ini adalah "hanya kesalahan pemrograman", meskipun sangat mahal, dengan laporan menunjukkan bahwa sekitar $ 200,000,000 dalam cryptotokens diambil dari sistem dalam apa yang @samczsun gambarkan sebagai “gratis untuk semua yang hiruk pikuk”:

12/ tl;dr pemutakhiran rutin menandai hash nol sebagai root yang valid, yang memungkinkan pesan dipalsukan di Nomad. Penyerang menyalahgunakan ini untuk menyalin/menempelkan transaksi dan dengan cepat menguras jembatan dalam hiruk pikuk gratis untuk semua

- samczsun (@samczsun) 2 Agustus 2022

Beberapa Twitterati sudah menggunakan kata tarikan karpet, frase merendahkan di dunia cryptocoin, digunakan untuk menyiratkan bahwa peretasan cryptocurrency adalah semacam pekerjaan orang dalam, diaktifkan atau dilakukan dengan sengaja. (Agar jelas, tidak ada bukti yang mendukung saran-saran ini.)

Tapi, sebagai prinsip yang dikenal sebagai Pisau Cukur Hanlon dengan bercanda mengatakan, tidak perlu menganggap kebencian ketika ketidakmampuan adalah penjelasan alternatif.

Apa yang harus dilakukan?

Kami tidak benar-benar tahu saran apa yang harus ditawarkan, selain mendesak dua jenis kehati-hatian:

• Jangan terburu-buru untuk bergabung dengan apa yang disebut revolusi DeFi. Keuangan terdesentralisasi, atau Web 3.0, adalah kendaraan untuk perdagangan online yang bertujuan untuk melepaskan diri dari dunia tradisional layanan keuangan terpusat yang sangat teregulasi. Layanan DeFi bertujuan untuk memungkinkan individu untuk berdagang secara langsung dan segera satu sama lain melalui instruksi pembayaran online, yang sering dinyatakan dalam bentuk kode program khusus. Tetapi tanpa kerangka peraturan yang mengelilingi lembaga keuangan tradisional, peluang Anda untuk memulihkan uang setelah kesalahan (atau, dalam hal ini, setelah penipuan orang dalam) sangat tipis. Jika perusahaan benar-benar tidak punya uang lagi karena penjahat dunia maya menemukan celah dan kabur dengan semua itu, maka kebangkrutan hampir tak terelakkan. Tidak ada dana pemulihan pemerintah untuk menyediakan restitusi dasar, seperti halnya dengan bank-bank arus utama di banyak negara.
• Hati-hati dengan pakar pemulihan gadungan yang menghubungi Anda setelah bencana DeFi. Salah satu jenis penipuan komentar paling umum yang kami lihat di situs Naked Security (kami memoderasi komentar baik secara otomatis maupun manual dalam upaya untuk menghentikannya) adalah "kesaksian pemulihan dana yang tidak diminta". Komentar ini, biasanya ditujukan pada artikel di mana kita membahas kesalahan cryptocoin, berpura-pura bahwa komentator kalah parah dalam sengatan cryptocurrency, namun memulihkan sebagian besar atau semua dana mereka dengan menghubungi perusahaan X, atau individu Y, atau akun media sosial Z. Ini iklan palsu untuk layanan uang kembali palsu mungkin terdengar menggoda, terutama jika mereka mengklaim menawarkan semacam layanan "tanpa-menang-tanpa-biaya". Namun kenyataannya, dana cryptocoin yang tersedot dalam serangan pseudo-anonim semacam ini jarang ditemukan, bahkan ketika penegak hukum dan pengadilan terlibat secara aktif. Jangan membuang uang baik setelah buruk.

Ingat: jika kedengarannya terlalu bagus untuk menjadi kenyataan, itu terlalu bagus untuk menjadi kenyataan.

Dan itu berlaku untuk janji kriptografi dan keamanan data, sama halnya dengan keuntungan finansial.