Nomad, il "token swapper" di criptovaluta, perde 200 milioni di dollari per un errore di codifica di PlatoBlockchain Data Intelligence. Ricerca verticale. Ai.

Cryptocoin "token swapper" Nomad perde $ 200 milioni in errore di codifica

Timestamp: 2 agosto 2022 12:12

by
Paul Ducklin

Protocollo di criptovaluta Nomade (da non confondere con Monad, che è il nome con cui PowerShell venne lanciato per la prima volta) descrive se stesso as “un protocollo di interoperabilità ottimistico che consente una comunicazione sicura a catena incrociata”, e promette che è a "protocollo di messaggistica cross-chain che mette al primo posto la sicurezza."

In parole povere, dovrebbe consentire di scambiare token di criptovaluta di un tipo con un altro, in un'operazione conosciuta in gergo come bridging.

Il servizio è gestito da una società andando sotto il nome of Sistemi Illusori, Inc.

Sfortunatamente, quando si parla di sicurezza informatica, la parola illusorio sembra adattarsi piuttosto bene.

Infatti, se visiti la "pagina dell'app" di Nomad in questo momento [2022-08-02T14:25Z], noterai che il servizio è completamente sospeso, con il pulsante che di solito usi per scambiare un criptotoken con un altro sostituito con le parole PONTE NON DISPONIBILE:

Come feed Twitter dell'azienda note:

In parole povere, sembra che numerose persone sconosciute siano state in grado di innescare una serie di transazioni che hanno pagato un'enorme quantità di varie criptovalute, senza prima pagare un importo equivalente in qualsiasi altra criptovaluta.

Secondo il ricercatore di criptovaluta @samczsun, gli aggressori sono riusciti a impossessarsi dei fondi utilizzando il cosiddetto a rigiocare l'attacco, che è esattamente quello che sembra: riutilizzi semplicemente i dati di una transazione precedente, ma con i dettagli del conto del destinatario originale sostituiti con i tuoi.

Secondo @samczsun, un recente aggiornamento nel codice sorgente di Nomad ha inavvertitamente aggirato il test critico nel sistema a punti che si chiedeva: "Questa transazione è stata approvata?"

Finché i dati della transazione fossero strutturati correttamente, il trasferimento verrebbe eseguito...

…così che semplicemente copiare una transazione esistente, ma modificando solo il campo “beneficiario”, si è rivelato il modo più semplice e facile per superare l’esame e drenare fondi.

Rasoio di Hanlon

Come probabilmente puoi immaginare, non tutti sono pronti ad accettare che si sia trattato di "solo un errore di programmazione", anche se terribilmente costoso, con rapporti che suggeriscono che circa $ 200,000,000 in criptotoken sono stati sottratti dal sistema in quello che @samczsun ha descritto come “un frenetico tutti contro tutti”:

Alcuni Twitterati stanno già usando la parola tappeto, una frase peggiorativa nel mondo delle criptovalute, usata per implicare che un hacking di criptovaluta fosse una sorta di lavoro interno, abilitato o eseguito di proposito. (Per essere chiari, non ci sono prove a sostegno di nessuno di questi suggerimenti.)

Ma, come principio noto come Rasoio di Hanlon dice scherzosamente, non c’è bisogno di presumere la malizia quando l’incompetenza è una spiegazione alternativa.

Cosa fare?

Non sappiamo davvero quale consiglio offrire, se non quello di sollecitare due tipi di cautela:

  • Non avere fretta di unirti alla cosiddetta rivoluzione DeFi. Finanza decentralizzata, o Web 3.0, è un veicolo per il trading online che mira a sfuggire al mondo tradizionale dei servizi finanziari centralizzati e altamente regolamentati. I servizi DeFi mirano a consentire agli individui di effettuare operazioni direttamente e quasi immediatamente tra loro attraverso istruzioni di pagamento online, spesso espresse sotto forma di codice di programma specializzato. Ma senza i quadri normativi che circondano gli istituti finanziari tradizionali, le possibilità di recuperare denaro in seguito a errori (o, del resto, dopo atti di furto interni) sono scarse. Se l’azienda davvero non ha più soldi perché i criminali informatici hanno trovato una scappatoia e se ne sono andati tutti, allora il fallimento è quasi inevitabile. Non esiste un fondo di recupero governativo per fornire la restituzione di base, come avviene con le banche tradizionali in molti paesi.
  • Fai attenzione ai sedicenti esperti di recupero che ti contattano dopo una catastrofe DeFi. Uno dei tipi più comuni di truffe sui commenti che vediamo sul sito Naked Security (moderiamo i commenti sia automaticamente che manualmente nel tentativo di impedire che arrivino) è la "testimonianza sul recupero di fondi non richiesti". Questi commenti, solitamente rivolti ad articoli in cui discutiamo di errori legati alle criptovalute, fingono che il commentatore abbia perso gravemente in un'operazione di criptovaluta, ma abbia recuperato la maggior parte o tutti i suoi fondi contattando la società X, o l'individuo Y, o l'account di social media Z. Questi le pubblicità false di servizi di rimborso fraudolenti possono sembrare allettanti, soprattutto se affermano di offrire una sorta di servizio "no-win-no-fee". La verità è, tuttavia, che i fondi in criptovalute sottratti in attacchi pseudo-anonimi di questo tipo vengono raramente recuperati, anche quando le forze dell’ordine e i tribunali sono attivamente coinvolti. Non buttare soldi buoni dopo soldi cattivi.

Ricorda: se sembra troppo bello per essere vero, è troppo bello per essere vero.

E questo vale per le promesse di crittografia e sicurezza dei dati, così come per i rendimenti finanziari.

Timestamp:

Di più da Sicurezza nuda