„Schimbatorul de jetoane” Cryptocoin Nomad pierde 200 de milioane de dolari din gafe de codare

Protocolul criptomonedei nomad (a nu se confunda cu Monad, care este cum se numea PowerShell când a apărut prima dată) se descrie pe sine as „un protocol de interoperabilitate optimist care permite o comunicare sigură între lanțuri” și promite că este o „protocolul de mesagerie încrucișat pe primul loc în siguranță.”

Într-o engleză simplă, ar trebui să vă permită să schimbați jetoane de criptomonede de un fel cu altul, într-un comerț cunoscut în jargon ca punte.

Serviciul este operat de o companie mergând după nume of Illusory Systems, Inc.

Din păcate, când vine vorba de securitate cibernetică, cuvântul iluzoriu pare să se potrivească destul de bine.

Într-adevăr, dacă vizitați „pagina aplicației” Nomad chiar acum [2022-08-02T14:25Z], veți observa că serviciul este complet suspendat, cu butonul pe care l-ați folosi de obicei pentru a tranzacționa un criptotoken cu altul înlocuit cu cuvintele BRIDGING INDISPONABLE:

Ca feed de Twitter al companiei notiţe:

Actualizare: Lucrăm non-stop pentru a aborda situația și am notificat forțele de ordine și am reținut firmele de top pentru informații și criminalistică blockchain. Scopul nostru este să identificăm conturile implicate și să urmărim și să recuperăm fondurile.

1/2

— Nomad (⤭⛓🏛) (@nomadxyz_) August 2, 2022

În mod clar, se pare că numeroase persoane necunoscute au fost capabile să declanșeze o serie de tranzacții care au plătit o cantitate enormă de diferite criptomonede, fără a plăti mai întâi o sumă echivalentă cu orice altă criptomonedă.

Potrivit cercetătorului criptomonedei @samczsun, atacatorii au reușit să obțină fondurile folosind ceea ce este cunoscut sub numele de a atac de redare, care este exact ceea ce sună: pur și simplu reutilizați datele dintr-o tranzacție anterioară, dar cu detaliile contului destinatarului inițial înlocuite cu ale dvs.

Potrivit @samczsun, o actualizare recentă a codului sursă Nomad a ocolit din greșeală testul critic la momentul în care sistemul de puncte și-a întrebat: „A fost aprobată această tranzacție?”

Atâta timp cât datele tranzacției au fost structurate corect, transferul va fi efectuat prin...

… astfel încât simpla copiere a unei tranzacții existente, dar modificarea doar a câmpului „beneficiar”, s-a dovedit a fi cea mai simplă și mai ușoară modalitate de a aduna și de a epuiza fondurile.

Aparatul de ras al lui Hanlon

După cum probabil vă puteți imagina, nu toată lumea este pregătită să accepte că aceasta a fost „doar o gafă de programare”, deși una îngrozitor de costisitoare, cu rapoarte care sugerează că aproximativ 200,000,000 USD în criptotoken-uri au fost extrași din sistem în ceea ce @samczsun a descris ca fiind „un înnebunit liber pentru toți”:

12/ tl;dr o actualizare de rutină a marcat zero hash ca o rădăcină validă, ceea ce a avut ca efect posibilitatea de a permite falsificarea mesajelor pe Nomad. Atacatorii au abuzat de acest lucru pentru a copia/lipi tranzacții și au drenat rapid podul într-un joc frenetic gratuit pentru toate

- samczsun (@samczsun) August 2, 2022

Unii Twitterati folosesc deja cuvântul rugpull, o expresie peiorativă în lumea criptomonedei, obișnuia să sugereze că un hack de criptomonede a fost un fel de muncă internă, activată sau efectuată intenționat. (Pentru a fi clar, nu există dovezi care să susțină oricare dintre aceste sugestii.)

Dar, ca principiu cunoscut ca Aparatul de ras al lui Hanlon spune în glumă, nu este nevoie să presupunem răutate atunci când incompetența este o explicație alternativă.

Ce să fac?

Nu știm cu adevărat ce sfaturi să oferim, în afară de a îndemna două tipuri de prudență:

• Nu vă grăbiți să vă alăturați așa-numitei revoluții DeFi. Finanțe descentralizate, sau Web 3.0, este un vehicul pentru tranzacționarea online care își propune să evadeze din lumea tradițională a serviciilor financiare centralizate, foarte reglementate. Serviciile DeFi urmăresc să permită persoanelor fizice să tranzacționeze direct și aproape imediat între ele prin instrucțiuni de plată online, adesea exprimate sub forma unui cod de program specializat. Dar fără cadrele de reglementare care înconjoară instituțiile financiare tradiționale, șansele tale de a recupera orice bani în urma unor gafe (sau, de altfel, după o infracțiune din interior) sunt mici. Dacă compania cu adevărat nu mai are bani din cauza faptului că infractorii cibernetici au găsit o lacună și au reușit să scape de toate, atunci falimentul este aproape inevitabil. Nu există un fond guvernamental de recuperare care să ofere o restituire de bază, așa cum există în cazul băncilor principale din multe țări.
• Atenție la autodenominați experți în recuperare care vă contactează după o catastrofă DeFi. Unul dintre cele mai frecvente tipuri de înșelătorie de comentarii pe care le vedem pe site-ul Naked Security (moderăm comentariile atât automat, cât și manual, într-un efort de a opri trecerea acestora) este „mărturia de recuperare nesolicitată de fonduri”. Aceste comentarii, de obicei destinate articolelor în care discutăm despre gafele legate de criptomonede, pretind că comentatorul a pierdut foarte mult într-o întepătură cu criptomonede, dar și-a recuperat majoritatea sau toate fondurile contactând compania X, persoana Y sau contul de social media Z. Acestea Reclamele false pentru servicii frauduloase de returnare a banilor pot suna tentante, mai ales dacă pretind că oferă un fel de serviciu „fără câștig, fără taxă”. Adevărul este, totuși, că fondurile de criptomonede absorbite în atacuri pseudo-anonime de acest fel sunt rareori recuperate, chiar și atunci când forțele de ordine și instanțele sunt implicate activ. Nu arunca bani buni după bani răi.

Amintiţi-vă: dacă sună prea bine pentru a fi adevărat, ESTE prea frumos pentru a fi adevărat.

Și asta este valabil pentru promisiunile criptografice și de securitate a datelor, la fel de mult ca și pentru profiturile financiare.