暗号通貨プロトコル 遊牧民 (Monad と混同しないでください。これは、PowerShell が最初に登場したときに呼ばれていたものです) 自身を記述する as 「安全なクロスチェーン通信を可能にする楽観的な相互運用性プロトコル」 そしてそれが 「セキュリティ ファーストのクロスチェーン メッセージング プロトコル」
平易な英語で言えば、ある種類の暗号通貨トークンを別の種類のものに交換できるようにすることになっています。これは、専門用語で次のように知られています ブリッジ.
サービスは会社によって運営されています 名前で行く of イリューソリーシステムズ株式会社
残念ながら、サイバーセキュリティに関して言えば、 幻想的な かなり合うようです。
実際、現在 [2022-08-02T14:25Z] Nomad の「アプリ ページ」にアクセスすると、サービスが完全に停止されていることがわかります。通常、ある暗号トークンを別の暗号トークンに交換するために使用するボタンが、 BRIDGING UNAVAILABLE という言葉:
同社のTwitterフィードとして ノート:
更新:私たちは状況に対処するためにXNUMX時間体制で取り組んでおり、法執行機関に通知し、ブロックチェーンインテリジェンスとフォレンジックの主要企業を保持しています. 私たちの目標は、関係するアカウントを特定し、資金を追跡して回収することです。
1/2
— ノマド (⤭⛓🏛) (@nomadxyz_) 2022 年 8 月 2 日
率直に言えば、未知の多数の人物が、最初に他の仮想通貨と同等の金額を支払うことなく、膨大な量のさまざまな仮想通貨を支払う一連のトランザクションをトリガーできたようです。
仮想通貨研究者によると @samczsun、攻撃者は、いわゆる リプレイ攻撃、まさにそのように聞こえます: 以前のトランザクションからのデータを再利用するだけですが、元の受信者のアカウントの詳細は自分のものに置き換えられます.
@samczsun によると、Nomad のソース コードの最近の更新により、システムが「このトランザクションは承認されましたか?」と自問する時点で、重要なテストをうっかりバイパスしてしまいました。
トランザクションデータが正しく構造化されている限り、転送は行われます...
…そのため、単に既存のトランザクションをコピーし、「受取人」フィールドだけを変更することが、集金して資金を流出させる最も簡単で簡単な方法であることが判明しました。
ハンロンのかみそり
おそらく想像できると思いますが、これが「ただのプログラミングの失敗」であったことを誰もが受け入れる準備ができているわけではありません。 「熱狂的な自由奔放」:
. 攻撃者はこれを悪用してトランザクションをコピー/貼り付けし、熱狂的な自由参加でブリッジをすぐに使い果たしました。
— samczsun(@samczsun) 2022 年 8 月 2 日
一部のTwitteratiはすでにこの言葉を使用しています ラグプルは、仮想通貨の世界では軽蔑的な言葉であり、仮想通貨のハッキングがある種の内部工作であり、有効にされたり、意図的に実行されたりしたことを示唆するために使用されていました。 (明確にするために、これらの提案のいずれかをサポートする証拠はありません。)
しかし、原則として、 ハンロンのかみそり 冗談めかして言えば、無能が代替の説明である場合、悪意を想定する必要はありません。
何をするか?
次の XNUMX 種類の注意を促す以外に、どのようなアドバイスを提供すればよいかはわかりません。
- いわゆるDeFi革命への参加を急いではいけません。 分散型ファイナンス、または Web 3.0 は、高度に規制され、中央集権化された金融サービスの従来の世界から脱出することを目的としたオンライン取引の手段です。 DeFi サービスの目的は、個人がオンラインの支払い指示を通じて直接かつほぼ即座に互いに取引できるようにすることです。この指示は、多くの場合、専用のプログラム コードの形式で表現されます。 しかし、従来の金融機関を取り巻く規制の枠組みがなければ、大失敗の後 (または、さらに言えば、内部不正行為の後) にお金を取り戻す可能性はほとんどありません。 サイバー犯罪者が抜け穴を見つけてすべてを持ち去ったために、会社に本当にお金が残っていない場合、破産はほぼ避けられません。 多くの国で主流の銀行にあるように、基本的な返還を提供する政府の回復基金はありません。
- DeFiの大惨事の後にあなたに連絡する自称復旧専門家に気をつけてください. Naked Security サイトで見られる最も一般的なタイプのコメント詐欺の XNUMX つは、「迷惑な資金回収の証言」です。 これらのコメントは、通常、仮想通貨の失策について議論する記事を対象としており、コメント投稿者が仮想通貨のおとり捜査で大損したが、会社 X、個人 Y、またはソーシャル メディア アカウント Z に連絡して資金のほとんどまたはすべてを回収したかのように装っています。詐欺的な返金サービスの偽の広告は魅力的に聞こえるかもしれません。特に、何らかの「勝者なし」のサービスを提供すると主張している場合はなおさらです。 しかし、真実は、この種の疑似匿名攻撃で吸い上げられた暗号通貨資金は、法執行機関や裁判所が積極的に関与している場合でも、めったに回収されないということです. 悪いお金の後に良いお金を投げないでください。
覚えておいてください: それが本当であるには良すぎるように聞こえる場合、それは本当であるには良すぎます。
これは、金銭的利益と同様に、暗号化とデータ セキュリティの約束にも当てはまります。