사용자들은 월요일 저녁 익스플로잇으로 비워진 브리지 프로토콜인 Nomad와 관련된 블록체인을 탈출했습니다.
Defi Llama의 데이터에 따르면 공격이 시작된 이후 사용자는 화요일까지 Moonbeam에 잠긴 가치의 절반 이상, Cardano에 잠긴 가치의 XNUMX분의 XNUMX을 철회했습니다.
브리지를 통해 사용자는 호환되지 않는 블록체인 간에 디지털 자산을 이동할 수 있으며 해커에게 유리한 목표가 입증되었습니다.
'군중 약탈'
함께 190억 XNUMX만 달러 도난, 월요일의 해킹은 2022년에 세 번째로 큰 규모였으며 DeFi 역사상 다섯 번째로 큰 규모였습니다.리더"는 암호화 뉴스 웹사이트 Rekt에서 유지 관리합니다. Axie Infinity의 Ronin 브리지와 Solana의 Wormhole 브리지만 각각 624억 326만 달러와 XNUMX억 XNUMX만 달러로 더 컸습니다.
트위터 사용자 foobar 를 호출 "역사상 9자리 다리에 대한 최초의 분산된 군중 약탈"
이번 주 소셜 미디어에 참여한 전문가들은 돈을 한 명의 유능한 해커가 가져간 것이 아니라 잠금 해제된 맨션에 해당하는 암호화폐를 보고 그들이 수행할 수 있는 것을 잡으려고 안으로 들어간 수십 명의 사람들이 돈을 가져갔다고 말했습니다.
벤처 캐피털 회사인 a16z의 보안 연구원인 Matt Gleason은 이 익스플로잇이 올해 초 Qbit에서 80천만 달러를 훔치는 데 사용된 것과 유사하다고 말했습니다.
"브리지의 안전하지 않은 구성으로 인해 특정 경로가 전송된 트랜잭션을 허용하게 되었습니다."라고 그는 말했습니다. 쓴 Twitter에서 "즉, 브리지의 모든 돈을 요구하면 얻을 수 있다는 의미입니다."
암호화 보안 회사 젤릭은 월요일 트위터 스레드에서 악용을 허용한 버그에 대해 자세히 설명했습니다.
교활하지 않은 공격자
"이 취약점은 너무 심각해서 교묘하지 않은 공격자도 즉시 무기화할 수 있었습니다." 트위트 된. “수취인의 주소를 변경하기만 하면 되었습니다.”
암호화 보안 회사에 따르면 업계 용어로 화이트 햇 해커로 알려진 최소 8명의 선량한 사마리아인이 다른 사람들이 훔치기 전에 XNUMX만 달러 이상을 안전하게 보관할 수 있었습니다. 페크 실드.
Nomad 브리지를 사용한 프로토콜은 해킹 이후 상당한 유출을 목격했습니다. Defiant Llama에 따르면 카르다노(Cardano)와 문빔(Moonbeam) 외에도 총 가치로 측정한 24개의 가장 큰 블록체인 중 XNUMX개, 소규모 블록체인인 Evmos와 Milkomeda도 해킹 후 XNUMX시간 동안 총 가치의 XNUMX분의 XNUMX 이상을 잃었습니다.
유목민의 무덤에서 춤추다
Evmos 설립자 Federico Kunze Küllmer는 화요일 Nomad의 무덤에서 춤추는 다른 사람들을 비판하기 위해 Twitter에 올렸습니다.
“가장 똑똑한 팀(dApp 및 L1)도 업그레이드 버그로 고통받을 수 있습니다. 과거에는 거의 모든 최고의 @cosmos 체인이 있었습니다.”라고 그는 말했습니다. 쓴, 다른 레이어 1 블록체인을 참조합니다. "우리는 다음 단계를 결정하기 위해 Nomad 팀 및 커뮤니티와 직접 조정하고 있습니다."
Evmos와 Moonbeam의 대표는 화요일 논평 요청에 즉시 응답하지 않았습니다.
훔친 돈
안에 성명서, Nomad는 도난당한 돈을 찾고 회수하기 위해 법 집행 기관 및 "블록체인 인텔리전스 및 포렌식을 위한 선도 기업"과 협력하고 있으며 "우리의 백모 친구들"에게 감사를 표했습니다. Nomad의 공동 설립자인 Barbara Liau와 Pranay Mohan은 화요일 댓글을 요청하는 메시지를 보내지 않았습니다.
그러나 일각에서는 돈을 회수할 수 있다는 생각에 의문을 제기했습니다.
a16z의 최고 정보 보안 책임자인 Nassim Eddequiouaq는 "현재로서는 예방적으로 고갈된 화이트햇으로부터 자금을 회수하는 것 외에는 아무 것도 할 수 없습니다."라고 말했습니다. 트위트 된.
