Cryptocoin "token swapper" Nomad taper 200 millioner dollar i kodefeil

Kryptovalutaprotokoll Nomad (ikke å forveksle med Monad, som er hva PowerShell ble kalt da den først kom ut) beskriver seg selv as "en optimistisk interoperabilitetsprotokoll som muliggjør sikker tverrkjedekommunikasjon," og lover at det er en "sikkerhetsførste meldingsprotokoll på tvers av kjeder."

På vanlig engelsk er det ment å la deg bytte kryptovaluta-tokens av en type med en annen, i en handel kjent i sjargongen som bridging.

Tjenesten drives av et selskap går under navnet of Illusory Systems, Inc.

Dessverre, når det gjelder cybersikkerhet, ordet illusorisk ser ut til å passe ganske bra.

Faktisk, hvis du besøker Nomad "app-siden" akkurat nå [2022-08-02T14:25Z], vil du legge merke til at tjenesten er fullstendig suspendert, med knappen du vanligvis bruker for å bytte en kryptotoken med en annen erstattet med ordene BRIDGING UTILGJENGELIG:

Som selskapets Twitter-feed notater:

Oppdatering: Vi jobber døgnet rundt for å løse situasjonen og har varslet rettshåndhevelse og beholdt ledende firmaer for blockchain-etterretning og etterforskning. Vårt mål er å identifisere kontoene som er involvert og å spore og gjenvinne midlene.

1/2

— Nomad (⤭⛓🏛) (@nomadxyz_) August 2, 2022

Tydelig fortalt ser det ut som om mange ukjente personer var i stand til å utløse en rekke transaksjoner som betalte ut en enorm mengde forskjellige kryptomynter, uten først å betale inn tilsvarende beløp av noen annen kryptovaluta.

Ifølge kryptovalutaforsker @samczsun, var angriperne i stand til å hente midlene ved å bruke det som er kjent som en replay-angrep, som er akkurat hva det høres ut som: du gjenbruker ganske enkelt dataene fra en tidligere transaksjon, men med den opprinnelige mottakerens kontoopplysninger erstattet med dine egne.

I følge @samczsun omgikk en nylig oppdatering i Nomad-kildekoden utilsiktet den kritiske testen ved at punktsystemet spurte seg selv: "Har denne transaksjonen blitt godkjent?"

Så lenge transaksjonsdataene var riktig strukturert, ville overføringen gå gjennom...

...slik at det å kopiere en eksisterende transaksjon, men bare endre "utbetalingsmottaker"-feltet, viste seg å være den enkleste og enkleste måten å samle inn og tappe ut penger på.

Hanlons barberhøvel

Som du sikkert kan forestille deg, er ikke alle klare til å akseptere at dette "bare var en programmeringstabbe", om enn en fryktelig dyr en, med rapporter som tyder på at rundt 200,000,000 XNUMX XNUMX dollar i kryptotokens ble lemmet fra systemet i det @samczsun beskrev som «en vanvittig fri for alle»:

12/ tl;dr en rutineoppgradering markerte null-hashen som en gyldig rot, noe som hadde effekten av å tillate at meldinger ble forfalsket på Nomad. Angripere misbrukte dette til å kopiere/lime inn transaksjoner og tømte raskt broen i en frenetisk fri-for-alle

- samczsun (@samczsun) August 2, 2022

Noen Twitterati bruker allerede ordet rugtrekk, en nedsettende setning i kryptomyntverdenen, pleide å antyde at et hack av kryptovaluta var en slags intern jobb, aktivert eller utført med vilje. (For å være tydelig, det er ingen bevis som støtter noen av disse forslagene.)

Men, som et prinsipp kjent som Hanlons barberhøvel spøkefullt sier det, er det ingen grunn til å anta ondskap når inkompetanse er en alternativ forklaring.

Hva gjør jeg?

Vi vet egentlig ikke hvilke råd vi skal gi, annet enn å oppfordre til to typer forsiktighet:

• Ikke ha det travelt med å bli med på den såkalte DeFi-revolusjonen. Desentralisert økonomi, eller Web 3.0, er et redskap for netthandel som har som mål å flykte fra den tradisjonelle verdenen av høyt regulerte, sentraliserte finansielle tjenester. DeFi-tjenester tar sikte på å tillate enkeltpersoner å handle direkte og nesten umiddelbart med hverandre gjennom online betalingsinstruksjoner, ofte uttrykt i form av spesialisert programkode. Men uten de regulatoriske rammeverkene som omgir tradisjonelle finansielle insutisjoner, er sjansene dine for å få tilbake penger etter tabber (eller, for den saks skyld, etter insider-roguery) små. Hvis selskapet virkelig ikke har penger igjen fordi nettkriminelle fant et smutthull og kom seg unna med alt, så er konkurs nesten uunngåelig. Det er ikke noe statlig gjenopprettingsfond for å gi grunnleggende restitusjon, slik det er med vanlige banker i mange land.
• Se opp for selvutnevnte restitusjonseksperter som kontakter deg etter en DeFi-katastrofe. En av de vanligste typene kommentarsvindel vi ser på Naked Security-siden (vi modererer kommentarer både automatisk og manuelt i et forsøk på å hindre at disse kommer igjennom) er "uoppfordret tilbakebetalingsuttalelse". Disse kommentarene, som vanligvis er rettet mot artikler der vi diskuterer kryptomynttabber, later som om kommentatoren tapte dårlig i et kryptovaluta-stikk, men fikk tilbake det meste eller alle pengene sine ved å kontakte selskapet X, eller individ Y, eller sosiale medier-konto Z. Disse falske annonser for uredelige pengene-tilbake-tjenester kan høres fristende ut, spesielt hvis de hevder å tilby en slags "no-win-no-fee"-tjeneste. Sannheten er imidlertid at kryptomyntmidler som suges av i pseudo-anonyme angrep av denne typen sjelden gjenvinnes, selv når rettshåndhevelse og domstolene er aktivt involvert. Ikke kast gode penger etter dårlige.

Husk: hvis det høres for godt ut til å være sant, ER det for godt til å være sant.

Og det gjelder løfter om kryptografisk og datasikkerhet, like mye som det gjelder økonomisk avkastning.