Криптовалютный «обменник токенов» Nomad теряет 200 миллионов долларов из-за ошибки в кодировании

Протокол криптовалюты кочевник (не путать с Monad, так назывался PowerShell, когда он только вышел) описывает себя as «оптимистичный протокол функциональной совместимости, обеспечивающий безопасную межсетевую связь». и обещает, что это «безопасный протокол обмена сообщениями между сетями».

Говоря простым языком, предполагается, что вы можете обменивать криптовалютные токены одного типа на другой в торговле, известной на жаргоне как шунтирование.

Услуга предоставляется компанией идет по имени of Иллюзорные системы, Inc.

К сожалению, когда речь идет о кибербезопасности, слово иллюзорный кажется, подходит довольно хорошо.

Действительно, если вы посетите «страницу приложения» Nomad прямо сейчас [2022-08-02T14:25Z], вы заметите, что сервис полностью приостановлен, а кнопка, которую вы обычно используете для обмена одного криптотокена на другой, заменена на слова МОСТ НЕДОСТУПЕН:

Как сообщает компания в Твиттере ноты:

Обновление: мы работаем круглосуточно, чтобы исправить ситуацию, уведомили правоохранительные органы и наняли ведущие фирмы для разведки и судебной экспертизы блокчейна. Наша цель — выявить задействованные счета, а также отследить и вернуть средства.

1/2

— Кочевник (⤭⛓🏛) (@nomadxyz_) 2 августа 2022

Проще говоря, похоже, что многочисленные неизвестные смогли инициировать серию транзакций, в результате которых было выплачено огромное количество различных криптовалют, без предварительной оплаты эквивалентной суммы какой-либо другой криптовалюты.

По словам исследователя криптовалюты @samczsun, злоумышленники смогли захватить средства с помощью так называемого переиграть атаку, что звучит именно так: вы просто повторно используете данные из предыдущей транзакции, но с заменой исходных данных учетной записи получателя своими собственными.

По словам @samczsun, недавнее обновление исходного кода Nomad непреднамеренно обошло критическую проверку в тот момент, когда система спросила себя: «Эта транзакция была одобрена?»

Пока данные транзакции были правильно структурированы, перевод будет проходить…

…поэтому простое копирование существующей транзакции, но изменение только поля «получатель платежа» оказалось самым простым и легким способом проверки и вывода средств.

Бритва Хэнлона

Как вы, вероятно, можете себе представить, не все готовы признать, что это была «просто ошибка программирования», хотя и ужасно дорогая, с отчетами, предполагающими, что около 200,000,000 XNUMX XNUMX долларов в криптотокенах были похищены из системы в том, что @samczsun описал как «Бешеная свободная для всех»:

12/ tl;dr обычное обновление помечало нулевой хеш как действительный корень, что позволяло подделывать сообщения на Nomad. Злоумышленники воспользовались этим для копирования/вставки транзакций и быстро опустошили мост в бешеном свободном доступе.

- samczsun (@samczsun) 2 августа 2022

Некоторые твиттеры уже используют это слово тряпка, уничижительное словосочетание в мире криптомонеты, используемое для обозначения того, что взлом криптовалюты был своего рода внутренней работой, разрешенной или выполненной намеренно. (Чтобы было ясно, нет никаких доказательств в поддержку любого из этих предположений.)

Но, как принцип, известный как Бритва Хэнлона в шутку, нет необходимости предполагать злой умысел, когда некомпетентность является альтернативным объяснением.

Что делать?

Мы действительно не знаем, что посоветовать, кроме как призвать к двум видам осторожности:

• Не спешите присоединяться к так называемой революции DeFi. Децентрализованное финансирование, или Web 3.0, — это инструмент для онлайн-торговли, целью которого является уход от традиционного мира строго регулируемых централизованных финансовых услуг. Услуги DeFi направлены на то, чтобы позволить людям торговать напрямую и почти мгновенно друг с другом с помощью инструкций по онлайн-платежам, часто выражаемых в виде специализированного программного кода. Но без нормативно-правовой базы, которая окружает традиционные финансовые институты, ваши шансы вернуть деньги после грубых ошибок (или, если на то пошло, после мошеннических действий инсайдеров) невелики. Если у компании действительно не осталось денег, потому что киберпреступники нашли лазейку и удрали со всем этим, то банкротство почти неизбежно. В отличие от основных банков во многих странах не существует государственного фонда восстановления для обеспечения базового возмещения ущерба.
• Остерегайтесь самозваных экспертов по восстановлению, которые связываются с вами после катастрофы DeFi. Один из наиболее распространенных типов мошенничества с комментариями, который мы видим на сайте Naked Security (мы модерируем комментарии как автоматически, так и вручную, чтобы предотвратить их прохождение), — это «отзыв о незапрашиваемом возврате средств». Эти комментарии, обычно нацеленные на статьи, в которых мы обсуждаем грубые ошибки криптовалюты, делают вид, что комментатор сильно проиграл в криптовалютной афере, но восстановил большую часть или все свои средства, связавшись с компанией X, или с частным лицом Y, или с учетной записью в социальной сети Z. Эти фальшивая реклама мошеннических услуг по возврату денег может показаться заманчивой, особенно если они утверждают, что предлагают какую-то услугу «без выигрыша и без комиссии». Правда, однако, в том, что криптовалютные средства, выведенные в ходе псевдоанонимных атак такого рода, редко возвращаются, даже при активном участии правоохранительных органов и судов. Не бросайте хорошие деньги после плохих.

Обратите внимание: если это звучит слишком хорошо, чтобы быть правдой, это слишком хорошо, чтобы быть правдой.

И это касается как криптографических обещаний и безопасности данных, так и финансовой отдачи.