Protocolo de criptomoeda Nômade (não deve ser confundido com Monad, que é como o PowerShell foi chamado quando foi lançado) descreve-se as “um protocolo de interoperabilidade otimista que permite comunicação segura entre cadeias”, e promete que é um “Protocolo de mensagens entre cadeias que prioriza a segurança”.
Em linguagem simples, ele permite que você troque tokens de criptomoeda de um tipo por outro, em uma negociação conhecida no jargão como ponte.
O serviço é operado por uma empresa indo pelo nome of Sistemas Ilusórios, Inc.
Infelizmente, quando se trata de segurança cibernética, a palavra ilusório parece se encaixar muito bem.
Na verdade, se você visitar a “página do aplicativo” do Nomad agora [2022-08-02T14:25Z], notará que o serviço está totalmente suspenso, com o botão que você normalmente usaria para trocar um cryptotoken por outro substituído por as palavras PONTE INDISPONÍVEL:
Conforme feed do Twitter da empresa notas:
Atualização: Estamos trabalhando 24 horas por dia para resolver a situação e notificamos as autoridades e contratamos empresas líderes em inteligência forense e blockchain. Nosso objetivo é identificar as contas envolvidas e rastrear e recuperar os fundos.
1/2
— Nômade (⤭⛓🏛) (@nomadxyz_) 2 de agosto de 2022
Dito de forma simples, parece que inúmeras pessoas desconhecidas foram capazes de desencadear uma série de transações que pagaram uma enorme quantidade de várias criptomoedas, sem primeiro pagar uma quantia equivalente de qualquer outra criptomoeda.
De acordo com pesquisador de criptomoeda @samczsun, os invasores conseguiram obter os fundos usando o que é conhecido como ataque de repetição, que é exatamente o que parece: você simplesmente reutiliza os dados de uma transação anterior, mas com os detalhes da conta do destinatário original substituídos pelos seus.
De acordo com @samczsun, uma atualização recente no código-fonte do Nomad contornou inadvertidamente o teste crítico no ponto em que o sistema se perguntou: “Esta transação foi aprovada?”
Desde que os dados da transação estivessem corretamente estruturados, a transferência seria realizada…
…de modo que simplesmente copiar uma transação existente, mas modificar apenas o campo “beneficiário”, acabou sendo a maneira mais simples e fácil de passar na avaliação e drenar fundos.
Navalha de Hanlon
Como você provavelmente pode imaginar, nem todo mundo está pronto para aceitar que isso foi “apenas um erro de programação”, embora terrivelmente caro, com relatórios sugerindo que cerca de US$ 200,000,000 milhões em criptomoedas foram sugados do sistema, no que @samczsun descreveu como “um vale-tudo frenético”:
12/ tl;dr uma atualização de rotina marcou o hash zero como uma raiz válida, o que teve o efeito de permitir que as mensagens fossem falsificadas no Nomad. Os invasores abusaram disso para copiar/colar transações e rapidamente esgotaram a ponte em um frenético free-for-all
- samczsun (@samczsun) 2 de agosto de 2022
Alguns Twitterati já estão usando a palavra Rugpull, uma frase pejorativa no mundo das criptomoedas, costumava implicar que um hack de criptomoeda era algum tipo de trabalho interno, habilitado ou executado propositalmente. (Para ser claro, não há evidências que apoiem qualquer uma dessas sugestões.)
Mas, como um princípio conhecido como Navalha de Hanlon coloca jocosamente, não há necessidade de presumir malícia quando a incompetência é uma explicação alternativa.
O que fazer?
Não sabemos realmente que conselho oferecer, a não ser dois tipos de cautela:
- Não tenha pressa em aderir à chamada revolução DeFi. Finanças descentralizadas, ou Web 3.0, é um veículo para negociação on-line que visa escapar do mundo tradicional de serviços financeiros centralizados e altamente regulamentados. Os serviços DeFi visam permitir que os indivíduos negociem direta e quase imediatamente entre si através de instruções de pagamento online, muitas vezes expressas na forma de código de programa especializado. Mas sem os quadros regulamentares que rodeiam as instituições financeiras tradicionais, as suas hipóteses de recuperar qualquer dinheiro após erros crassos (ou, nesse caso, após trapaças internas) são mínimas. Se a empresa realmente não tiver mais dinheiro porque os cibercriminosos encontraram uma brecha e fugiram com tudo, a falência será quase inevitável. Não existe um fundo de recuperação governamental que forneça restituições básicas, como acontece com os bancos tradicionais em muitos países.
- Cuidado com os autoproclamados especialistas em recuperação que entram em contato com você após uma catástrofe DeFi. Um dos tipos mais comuns de golpes de comentários que vemos no site Naked Security (moderamos comentários automática e manualmente em um esforço para impedir que eles cheguem) é o “depoimento de recuperação de fundos não solicitados”. Esses comentários, geralmente direcionados a artigos nos quais discutimos erros de criptomoeda, fingem que o comentarista perdeu gravemente em uma armação de criptomoeda, mas recuperou a maior parte ou todos os seus fundos entrando em contato com a empresa X, ou indivíduo Y, ou conta de mídia social Z. Esses comentários anúncios falsos de serviços fraudulentos de devolução de dinheiro podem parecer tentadores, especialmente se alegarem oferecer algum tipo de serviço “sem ganhos, sem taxas”. A verdade, porém, é que os fundos de criptomoedas desviados em ataques pseudo-anónimos deste tipo raramente são recuperados, mesmo quando as autoridades e os tribunais estão ativamente envolvidos. Não jogue dinheiro bom atrás de dinheiro ruim.
Lembre-se: se parece bom demais para ser verdade, É bom demais para ser verdade.
E isso vale para promessas criptográficas e de segurança de dados, tanto quanto para retornos financeiros.
- blockchain
- Coingenius
- criptomoeda
- criptomoedas
- carteiras de criptomoeda
- cryptoexchange
- criptografia
- cíber segurança
- cibercriminosos
- Cíber segurança
- DeFi
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- Segurança nua
- NexBLOC
- NOMAD
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- vulnerabilidade
- a segurança do website
- zefirnet
![S3 Ep93: Segurança do escritório, custos de violação e patches lentos [Áudio + Texto] PlatoBlockchain Data Intelligence. Pesquisa vertical. Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/s3-ep93-1200-300x157.png "S3 Ep93: segurança do Office, custos de violação e patches de lazer [Áudio + Texto]")
![S3 Ep120: Quando a criptografia falsa simplesmente não desiste [Áudio + Texto]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep120-when-dud-crypto-simply-wont-let-go-audio-text-300x157.png "S3 Ep120: Quando a criptografia falsa simplesmente não desiste [Áudio + Texto]")
![S3 Ep105: WONTFIX! O criptofail do MS Office que “não é uma falha de segurança” [Áudio + Texto] PlatoBlockchain Data Intelligence. Pesquisa vertical. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/pic-1200-360x188.png "S3 Ep105: WONFIX! A falha de criptografia do MS Office que “não é uma falha de segurança” [Áudio + Texto]")
![S3 Ep101: Violações de Uber e LastPass – 2FA é tudo o que dizem ser? [Áudio + Texto] Inteligência de dados PlatoBlockchain. Pesquisa vertical. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/s3-ep101-1200-360x188.jpg "S3 Ep101: Violações Uber e LastPass – o 2FA é tudo o que se espera? [Áudio + Texto]")
