Протокол криптовалюты кочевник (не путать с Monad, так назывался PowerShell, когда он только вышел) описывает себя as «оптимистичный протокол функциональной совместимости, обеспечивающий безопасную межсетевую связь». и обещает, что это «безопасный протокол обмена сообщениями между сетями».
Говоря простым языком, предполагается, что вы можете обменивать криптовалютные токены одного типа на другой в торговле, известной на жаргоне как шунтирование.
Услуга предоставляется компанией идет по имени of Иллюзорные системы, Inc.
К сожалению, когда речь идет о кибербезопасности, слово иллюзорный кажется, подходит довольно хорошо.
Действительно, если вы посетите «страницу приложения» Nomad прямо сейчас [2022-08-02T14:25Z], вы заметите, что сервис полностью приостановлен, а кнопка, которую вы обычно используете для обмена одного криптотокена на другой, заменена на слова МОСТ НЕДОСТУПЕН:
Как сообщает компания в Твиттере ноты:
Обновление: мы работаем круглосуточно, чтобы исправить ситуацию, уведомили правоохранительные органы и наняли ведущие фирмы для разведки и судебной экспертизы блокчейна. Наша цель — выявить задействованные счета, а также отследить и вернуть средства.
1/2
— Кочевник (⤭⛓🏛) (@nomadxyz_) 2 августа 2022
Проще говоря, похоже, что многочисленные неизвестные смогли инициировать серию транзакций, в результате которых было выплачено огромное количество различных криптовалют, без предварительной оплаты эквивалентной суммы какой-либо другой криптовалюты.
По словам исследователя криптовалюты @samczsun, злоумышленники смогли захватить средства с помощью так называемого переиграть атаку, что звучит именно так: вы просто повторно используете данные из предыдущей транзакции, но с заменой исходных данных учетной записи получателя своими собственными.
По словам @samczsun, недавнее обновление исходного кода Nomad непреднамеренно обошло критическую проверку в тот момент, когда система спросила себя: «Эта транзакция была одобрена?»
Пока данные транзакции были правильно структурированы, перевод будет проходить…
…поэтому простое копирование существующей транзакции, но изменение только поля «получатель платежа» оказалось самым простым и легким способом проверки и вывода средств.
Бритва Хэнлона
Как вы, вероятно, можете себе представить, не все готовы признать, что это была «просто ошибка программирования», хотя и ужасно дорогая, с отчетами, предполагающими, что около 200,000,000 XNUMX XNUMX долларов в криптотокенах были похищены из системы в том, что @samczsun описал как «Бешеная свободная для всех»:
12/ tl;dr обычное обновление помечало нулевой хеш как действительный корень, что позволяло подделывать сообщения на Nomad. Злоумышленники воспользовались этим для копирования/вставки транзакций и быстро опустошили мост в бешеном свободном доступе.
- samczsun (@samczsun) 2 августа 2022
Некоторые твиттеры уже используют это слово тряпка, уничижительное словосочетание в мире криптомонеты, используемое для обозначения того, что взлом криптовалюты был своего рода внутренней работой, разрешенной или выполненной намеренно. (Чтобы было ясно, нет никаких доказательств в поддержку любого из этих предположений.)
Но, как принцип, известный как Бритва Хэнлона в шутку, нет необходимости предполагать злой умысел, когда некомпетентность является альтернативным объяснением.
Что делать?
Мы действительно не знаем, что посоветовать, кроме как призвать к двум видам осторожности:
- Не спешите присоединяться к так называемой революции DeFi. Децентрализованное финансирование, или Web 3.0, — это инструмент для онлайн-торговли, целью которого является уход от традиционного мира строго регулируемых централизованных финансовых услуг. Услуги DeFi направлены на то, чтобы позволить людям торговать напрямую и почти мгновенно друг с другом с помощью инструкций по онлайн-платежам, часто выражаемых в виде специализированного программного кода. Но без нормативно-правовой базы, которая окружает традиционные финансовые институты, ваши шансы вернуть деньги после грубых ошибок (или, если на то пошло, после мошеннических действий инсайдеров) невелики. Если у компании действительно не осталось денег, потому что киберпреступники нашли лазейку и удрали со всем этим, то банкротство почти неизбежно. В отличие от основных банков во многих странах не существует государственного фонда восстановления для обеспечения базового возмещения ущерба.
- Остерегайтесь самозваных экспертов по восстановлению, которые связываются с вами после катастрофы DeFi. Один из наиболее распространенных типов мошенничества с комментариями, который мы видим на сайте Naked Security (мы модерируем комментарии как автоматически, так и вручную, чтобы предотвратить их прохождение), — это «отзыв о незапрашиваемом возврате средств». Эти комментарии, обычно нацеленные на статьи, в которых мы обсуждаем грубые ошибки криптовалюты, делают вид, что комментатор сильно проиграл в криптовалютной афере, но восстановил большую часть или все свои средства, связавшись с компанией X, или с частным лицом Y, или с учетной записью в социальной сети Z. Эти фальшивая реклама мошеннических услуг по возврату денег может показаться заманчивой, особенно если они утверждают, что предлагают какую-то услугу «без выигрыша и без комиссии». Правда, однако, в том, что криптовалютные средства, выведенные в ходе псевдоанонимных атак такого рода, редко возвращаются, даже при активном участии правоохранительных органов и судов. Не бросайте хорошие деньги после плохих.
Обратите внимание: если это звучит слишком хорошо, чтобы быть правдой, это слишком хорошо, чтобы быть правдой.
И это касается как криптографических обещаний и безопасности данных, так и финансовой отдачи.
- блокчейн
- Coingenius
- криптовалюта
- криптовалюта
- кошельки с криптовалютами
- cryptoexchange
- криптография
- информационная безопасность
- киберпреступники
- Информационная безопасность
- Defi
- Департамент внутренней безопасности
- цифровые кошельки
- брандмауэр
- Kaspersky
- вредоносных программ
- Mcafee
- Голая Безопасность
- НексБЛОК
- НОМАД
- Платон
- Платон Ай
- Платон Интеллектуальные данные
- Платон игра
- ПлатонДанные
- платогейминг
- VPN
- уязвимость
- безопасности веб-сайтов
- зефирнет