Cryptocoin "token swapper" Nomad verliest $ 200 miljoen aan codeerblunder

Cryptocurrency-protocol Nomade (niet te verwarren met Monad, zo heette PowerShell toen het voor het eerst uitkwam) beschrijft zichzelf as "een optimistisch interoperabiliteitsprotocol dat veilige cross-chain-communicatie mogelijk maakt", en belooft dat het een "security-first cross-chain messaging-protocol."

In gewoon Engels wordt verondersteld dat u cryptocurrency-tokens van de ene soort voor een andere kunt ruilen, in een handel die in het jargon bekend staat als overbrugging.

De service wordt beheerd door een bedrijf bij de naam gaan of Illusoire Systems, Inc.

Helaas, als het gaat om cyberbeveiliging, is het woord illusoir lijkt redelijk goed te passen.

Inderdaad, als je nu de Nomad "app-pagina" bezoekt [2022-08-02T14:25Z], zul je merken dat de service volledig is opgeschort, met de knop die je normaal gesproken zou gebruiken om het ene cryptotoken in te ruilen voor een ander, vervangen door de woorden BRUGGING NIET BESCHIKBAAR:

Als de Twitter-feed van het bedrijf aantekeningen:

Update: we werken de klok rond om de situatie aan te pakken en hebben wetshandhaving op de hoogte gebracht en toonaangevende bedrijven behouden voor blockchain-inlichtingen en forensisch onderzoek. Ons doel is om de betrokken rekeningen te identificeren en de fondsen te traceren en terug te vorderen.

1/2

— Nomade (⤭⛓🏛) (@nomadxyz_) 2 Augustus 2022

Het lijkt er duidelijk op dat talloze onbekende personen een reeks transacties hebben kunnen activeren die een enorme hoeveelheid verschillende cryptomunten hebben uitbetaald, zonder eerst een equivalent bedrag van een andere cryptocurrency te betalen.

Volgens cryptocurrency-onderzoeker @samczsun, konden de aanvallers het geld pakken door gebruik te maken van wat bekend staat als a speel aanval opnieuw af, en dat is precies hoe het klinkt: u hergebruikt gewoon de gegevens van een eerdere transactie, maar waarbij de accountgegevens van de oorspronkelijke ontvanger worden vervangen door uw eigen gegevens.

Volgens @samczsun omzeilde een recente update in de Nomad-broncode onbedoeld de kritische test op het puntensysteem dat zichzelf vroeg: "Is deze transactie goedgekeurd?"

Zolang de transactiegegevens correct gestructureerd waren, zou de overdracht doorgaan ...

...zodat het simpelweg kopiëren van een bestaande transactie, maar het wijzigen van alleen het veld 'begunstigde', de eenvoudigste en gemakkelijkste manier bleek te zijn om geld op te halen en weg te pompen.

Hanlon's scheermes

Zoals je je waarschijnlijk kunt voorstellen, is niet iedereen klaar om te accepteren dat dit "slechts een programmeerblunder" was, zij het een vreselijk dure, met rapporten die suggereren dat ongeveer $ 200,000,000 aan cryptotokens uit het systeem werden gelogen in wat @samczsun beschreef als “een waanzinnige free-for-all”:

12/ tl;dr een routine-upgrade markeerde de nul-hash als een geldige root, wat tot gevolg had dat berichten op Nomad konden worden vervalst. Aanvallers misbruikten dit om transacties te kopiëren/plakken en maakten de brug snel leeg in een waanzinnige free-for-all

- samczsun (@samczsun) 2 Augustus 2022

Sommige Twitterati gebruiken het woord al rugtrek, een pejoratieve uitdrukking in de cryptocoin-wereld, die werd gebruikt om te impliceren dat een cryptocurrency-hack een soort inside job was, ingeschakeld of met opzet uitgevoerd. (Voor alle duidelijkheid, er is geen bewijs om een ​​van deze suggesties te ondersteunen.)

Maar, als een principe dat bekend staat als: Hanlon's scheermes het grappig zegt, is het niet nodig om kwaadwilligheid aan te nemen wanneer incompetentie een alternatieve verklaring is.

Wat te doen?

We weten niet echt welk advies we moeten geven, behalve om twee soorten voorzichtigheid aan te dringen:

• Haast je niet om mee te doen aan de zogenaamde DeFi-revolutie. Gedecentraliseerde financiën, of Web 3.0, is een voertuig voor online handel dat tot doel heeft te ontsnappen uit de traditionele wereld van sterk gereguleerde, gecentraliseerde financiële diensten. DeFi-services zijn bedoeld om individuen in staat te stellen rechtstreeks en vrijwel onmiddellijk met elkaar te handelen via online betalingsinstructies, vaak uitgedrukt in de vorm van gespecialiseerde programmacode. Maar zonder de regelgevende kaders die traditionele financiële instellingen omringen, zijn uw kansen om geld terug te krijgen na blunders (of, wat dat betreft, na insider-schurkenpraktijken) klein. Als het bedrijf echt geen geld meer heeft omdat cybercriminelen een maas in de wet hebben gevonden en er vandoor zijn gegaan, dan is een faillissement bijna onvermijdelijk. Er is geen herstelfonds van de overheid om in basisrestitutie te voorzien, zoals bij reguliere banken in veel landen wel het geval is.
• Pas op voor zelfbenoemde herstelexperts die contact met u opnemen na een DeFi-catastrofe. Een van de meest voorkomende vormen van zwendel met opmerkingen die we zien op de Naked Security-site (we modereren reacties zowel automatisch als handmatig in een poging om te voorkomen dat deze doorkomen) is de "ongevraagde recuperatie van fondsen". Deze opmerkingen, die meestal gericht zijn op artikelen waarin we blunders met cryptomunten bespreken, doen alsof de commentator zwaar heeft verloren in een cryptocurrency-steek, maar het meeste of al zijn geld heeft teruggekregen door contact op te nemen met bedrijf X, of individu Y, of sociale media-account Z. Deze opmerkingen nep-advertenties voor frauduleuze geld-terug-services kunnen verleidelijk klinken, vooral als ze beweren een soort van "no-win-no-fee"-service aan te bieden. De waarheid is echter dat cryptocoin-fondsen die in pseudo-anonieme aanvallen van dit soort zijn overgeheveld, zelden worden teruggevonden, zelfs niet wanneer wetshandhavers en de rechtbanken actief betrokken zijn. Gooi geen goed geld naar slecht geld.

Vergeet niet: als het te mooi klinkt om waar te zijn, IS het ook te mooi om waar te zijn.

En dat geldt voor cryptografische en gegevensbeveiligingsbeloften, net zo goed als voor financieel rendement.