Protokół kryptowalut Koczownik (nie mylić z Monadą, jak nazwano PowerShell, kiedy po raz pierwszy się pojawił) opisuje siebie as „optymistyczny protokół interoperacyjności, który umożliwia bezpieczną komunikację między łańcuchami”, i obiecuje, że to „Pierwszy protokół komunikacji międzyłańcuchowej bezpieczeństwa”.
Mówiąc prostym językiem, ma umożliwiać wymianę tokenów kryptowaluty jednego rodzaju na inny, w handlu znanym w żargonie jako mostkowanie.
Usługa jest obsługiwana przez firmę chodząc po imieniu of Iluzoryczne Systemy, Inc.
Niestety, jeśli chodzi o cyberbezpieczeństwo, słowo iluzoryczny wydaje się pasować całkiem dobrze.
Rzeczywiście, jeśli teraz odwiedzisz „stronę aplikacji” Nomad [2022-08-02T14:25Z], zauważysz, że usługa jest całkowicie zawieszona, a przycisk, którego zwykle używasz do wymiany jednego kryptotokenu na inny, jest zastąpiony przez słowa MOSTKOWANIE NIEDOSTĘPNE:
Jako kanał firmy na Twitterze zauważa:
Aktualizacja: Pracujemy przez całą dobę, aby rozwiązać tę sytuację i powiadomiliśmy organy ścigania i zatrzymaliśmy wiodące firmy zajmujące się wywiadem i kryminalistyki blockchain. Naszym celem jest identyfikacja zaangażowanych kont oraz śledzenie i odzyskiwanie środków.
1/2
— Nomad (⤭⛓🏛) (@nomadxyz_) 2 sierpnia 2022 r.
Mówiąc wprost, wygląda na to, że wiele nieznanych osób było w stanie uruchomić serię transakcji, które wypłaciły ogromną ilość różnych kryptowalut, bez uprzedniego wpłacenia równoważnej kwoty jakiejkolwiek innej kryptowaluty.
Według badacza kryptowalut @samczsun, osoby atakujące zdołały przejąć środki, korzystając z tzw atak powtórkowy, co dokładnie brzmi: po prostu ponownie wykorzystujesz dane z poprzedniej transakcji, ale dane konta pierwotnego odbiorcy są zastępowane własnymi.
Według @samczsun, ostatnia aktualizacja kodu źródłowego Nomada przypadkowo ominęła krytyczny test w punkcie, w którym system zadał sobie pytanie: „Czy ta transakcja została zatwierdzona?”
Dopóki dane transakcyjne będą poprawnie ustrukturyzowane, transfer przejdzie przez…
…aby proste skopiowanie istniejącej transakcji, ale zmodyfikowanie samego pola „odbiorca”, okazało się najprostszym i najłatwiejszym sposobem na przeprowadzenie zbiórki i wyprowadzenie środków.
Brzytwa Hanlona
Jak możesz sobie wyobrazić, nie wszyscy są gotowi zaakceptować, że był to „tylko błąd programistyczny”, aczkolwiek strasznie kosztowny, z raportami sugerującymi, że około 200,000,000 XNUMX XNUMX w kryptotokenach zostało wyssanych z systemu w tym, co @samczsun określił jako „szalony wolny na wszystkich”:
12/ tl;dr rutynowa aktualizacja oznaczyła zerowy hash jako prawidłowy root, co skutkowało umożliwieniem fałszowania wiadomości na Nomadzie. Atakujący wykorzystali to, aby skopiować/wkleić transakcje i szybko opróżnili most w szaleńczym trybie „free-for-all”
- samczsun (@samczsun) 2 sierpnia 2022 r.
Niektórzy Twitterati już używają tego słowa dywanik, pejoratywne wyrażenie w świecie kryptowalut, używane do sugerowania, że włamanie do kryptowaluty było jakimś rodzajem wewnętrznej pracy, włączonej lub przeprowadzonej celowo. (Aby było jasne, nie ma dowodów na poparcie którejkolwiek z tych sugestii.)
Ale jako zasada znana jako Brzytwa Hanlona żartobliwie ujmuje to, że nie ma potrzeby zakładać złośliwości, gdy niekompetencja jest alternatywnym wyjaśnieniem.
Co robić?
Tak naprawdę nie wiemy, jaką radę zaoferować, poza wezwaniem do dwóch rodzajów ostrożności:
- Nie spiesz się z dołączeniem do tak zwanej rewolucji DeFi. Zdecentralizowane finanse, czyli Web 3.0, to narzędzie do handlu online, którego celem jest ucieczka od tradycyjnego świata wysoce regulowanych, scentralizowanych usług finansowych. Usługi DeFi mają na celu umożliwienie osobom fizycznym handlu między sobą bezpośrednio i niemal natychmiast za pomocą instrukcji płatności online, często wyrażanych w formie specjalistycznego kodu programu. Ale bez ram regulacyjnych, które otaczają tradycyjne instytucje finansowe, twoje szanse na odzyskanie jakichkolwiek pieniędzy po błędach (lub, jeśli o to chodzi, po oszustwie z wykorzystaniem informacji poufnych) są niewielkie. Jeśli firmie naprawdę nie zostały już żadne pieniądze, ponieważ cyberprzestępcy znaleźli lukę i ukryli ją, to bankructwo jest prawie nieuniknione. Nie ma rządowego funduszu naprawczego, który zapewniałby podstawowe odszkodowanie, jak to ma miejsce w przypadku banków głównego nurtu w wielu krajach.
- Uważaj na samozwańczych ekspertów ds. odzyskiwania, którzy skontaktują się z Tobą po katastrofie DeFi. Jednym z najczęstszych rodzajów oszustw związanych z komentarzami, które widzimy na stronie Naked Security (moderujemy komentarze zarówno automatycznie, jak i ręcznie, aby zapobiec ich przedostawaniu się), jest „recenzja o odzyskaniu niezamówionych środków”. Komentarze te, zwykle skierowane do artykułów, w których omawiamy błędy związane z kryptowalutami, udają, że komentujący bardzo przegrał w żądnym kryptowalucie, a mimo to odzyskał większość lub całość swoich środków, kontaktując się z firmą X, indywidualnym Y lub kontem Z w mediach społecznościowych. Fałszywe reklamy oszukańczych usług zwrotu pieniędzy mogą brzmieć kusząco, zwłaszcza jeśli twierdzą, że oferują coś w rodzaju usługi „bez wygranej, bez opłat”. Prawda jest jednak taka, że fundusze kryptowalutowe wyprowadzone w tego rodzaju pseudoanonimowych atakach rzadko są odzyskiwane, nawet gdy aktywnie zaangażowane są organy ścigania i sądy. Nie rzucaj dobrych pieniędzy za złe.
Zapamiętaj: jeśli brzmi zbyt pięknie, aby mogło być prawdziwe, JEST zbyt piękne, aby mogło być prawdziwe.
Dotyczy to obietnic kryptograficznych i bezpieczeństwa danych, tak samo jak zwrotów finansowych.
- blockchain
- pomysłowość
- kryptowaluta
- kryptowaluta
- portfele kryptowalutowe
- krypto-wymiana
- kryptografia
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- DeFi
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- Nagie bezpieczeństwo
- NexBLOC
- NOMAD
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- wrażliwość
- zabezpieczenia stron internetowych
- zefirnet
![S3 Ep93: Bezpieczeństwo biura, koszty włamań i niespieszne poprawki [Audio + Text] PlatoBlockchain Data Intelligence. Wyszukiwanie pionowe. AI.](https://platoblockchain.com/wp-content/uploads/2022/07/s3-ep93-1200-300x157.png "S3 Ep93: Bezpieczeństwo biura, koszty naruszenia i spokojne poprawki [Audio + Text]")
![S3, odc. 120: Kiedy kryptowaluta po prostu nie chce odejść [audio + tekst]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep120-when-dud-crypto-simply-wont-let-go-audio-text-300x157.png "S3, odc. 120: Kiedy kryptowaluta po prostu nie chce odejść [audio + tekst]")
![S3 Odc. 105: NIEPRAWIDŁOWE! Kryptofail MS Office, który „nie stanowi luki w zabezpieczeniach” [Audio + Tekst] PlatoBlockchain Data Intelligence. Wyszukiwanie pionowe. AI.](https://platoblockchain.com/wp-content/uploads/2022/10/pic-1200-360x188.png "S3 Odc105: NIE NAPRAWIONE! Błąd kryptograficzny MS Office, który „nie jest luką w zabezpieczeniach” [Audio + Text]")
![S3 Ep101: Naruszenia Ubera i LastPass – czy 2FA jest wszystkim, czym jest? [Audio + Tekst] Analiza danych PlatoBlockchain. Wyszukiwanie pionowe. AI.](https://platoblockchain.com/wp-content/uploads/2022/09/s3-ep101-1200-360x188.jpg "S3 Ep101: Naruszenia Ubera i LastPass – czy 2FA jest wszystkim, czym jest? [Dźwięk + tekst]")
