Cryptocoin "zamenjalec žetonov" Nomad izgubi 200 milijonov dolarjev zaradi napake pri kodiranju

Protokol kriptovalute Nomad (ne smemo zamenjevati z Monadom, ki se je imenoval PowerShell, ko je prvič izšel) opisuje samega sebe as »optimističen protokol interoperabilnosti, ki omogoča varno medverižno komunikacijo,« in obljublja, da je a »prvi varnostni protokol medverižnega sporočanja«.

V navadni angleščini naj bi vam omogočal zamenjavo žetonov kriptovalut ene vrste za drugo, v trgovini, ki je v žargonu znana kot premostitev.

Storitev izvaja podjetje gre po imenu of Illusory Systems, Inc.

Na žalost, ko gre za kibernetsko varnost, beseda iluzorno zdi se, da se dobro prilega.

Dejansko, če zdaj obiščete »stran aplikacije« Nomad [2022-08-02T14:25Z], boste opazili, da je storitev popolnoma začasno ustavljena, pri čemer je gumb, ki ga običajno uporabljate za menjavo enega kriptožetona za drugega, zamenjan z besede PREMOSTITEV NI NA VOLJO:

Kot Twitter vir podjetja opombe:

Posodobitev: Delamo 24 ur na dan, da bi rešili situacijo in smo obvestili organe kazenskega pregona ter obdržali vodilna podjetja za obveščanje in forenziko verige blokov. Naš cilj je identificirati vpletene račune ter izslediti in izterjati sredstva.

1/2

— Nomad (⤭⛓🏛) (@nomadxyz_) Avgust 2, 2022

Preprosto povedano, izgleda, kot da so številne neznane osebe lahko sprožile niz transakcij, s katerimi so izplačali ogromno različnih kriptovalut, ne da bi prej plačali enakovreden znesek katere koli druge kriptovalute.

Po mnenju raziskovalca kriptovalut @samczsun, so napadalci lahko zgrabili sredstva z uporabo tako imenovanega ponovni napad, kar se sliši natanko tako: preprosto znova uporabite podatke iz prejšnje transakcije, vendar s podatki o prvotnem prejemnikovem računu zamenjate s svojimi.

Po navedbah @samczsun je nedavna posodobitev izvorne kode Nomad nenamerno zaobšla kritični test pri točkovnem sistemu, ki se je vprašal: "Ali je bila ta transakcija odobrena?"

Dokler so bili podatki o transakciji pravilno strukturirani, bi prenos potekal skozi ...

… tako da se je preprosto kopiranje obstoječe transakcije, vendar spreminjanje samo polja »prejemnik plačila«, izkazalo za najpreprostejši in najlažji način za zbiranje in črpanje sredstev.

Hanlonova britvica

Kot si verjetno lahko predstavljate, niso vsi pripravljeni sprejeti, da je bila to "samo programska napaka", čeprav strašno draga, s poročili, ki kažejo, da je bilo približno 200,000,000 $ v kriptožetonih izpuščenih iz sistema, kar je @samczsun opisal kot "podivjan zastonj za vse":

12/ tl;dr je rutinska nadgradnja označila ničelno zgoščeno vrednost kot veljavno korenino, kar je imelo za posledico, da so v Nomadu dovolili ponarejanje sporočil. Napadalci so to zlorabili za kopiranje/prilepitev transakcij in hitro izpraznili most v nori zastonj

- samczsun (@samczsun) Avgust 2, 2022

Nekateri Twitterati že uporabljajo to besedo rugpull, slabšalni izraz v svetu kriptovalut, ki se uporablja za nakazovanje, da je bil vdor v kriptovaluto neke vrste notranja naloga, omogočena ali izvedena namerno. (Če želite biti jasni, ni dokazov, ki bi podpirali katerega koli od teh predlogov.)

Toda, kot je znano načelo Hanlonova britvica šaljivo pravi, da ni treba domnevati zlobe, ko je nesposobnost alternativna razlaga.

Kaj storiti?

Pravzaprav ne vemo, kaj bi svetovali, razen da pozivamo k dvema vrstama previdnosti:

• Naj se vam ne mudi pridružiti tako imenovani revoluciji DeFi. Decentralizirane finance, ali Web 3.0, je sredstvo za spletno trgovanje, katerega cilj je pobeg iz tradicionalnega sveta visoko reguliranih, centraliziranih finančnih storitev. Namen storitev DeFi je omogočiti posameznikom neposredno in skoraj takojšnje trgovanje med seboj prek spletnih plačilnih navodil, ki so pogosto izražena v obliki specializirane programske kode. Toda brez regulativnih okvirov, ki obkrožajo tradicionalne finančne inštitucije, so vaše možnosti, da po napakah (ali, glede na to, po prevarah insajderjev) povrnete denar, majhne. Če podjetje resnično nima več denarja, ker so kiberkriminalci našli vrzel in jo pobegnili, potem je stečaj skoraj neizogiben. Ni vladnega sklada za sanacijo, ki bi zagotavljal osnovno povračilo, kot je to pri običajnih bankah v mnogih državah.
• Pazite na samozvane strokovnjake za obnovo, ki stopijo v stik z vami po katastrofi DeFi. Ena najpogostejših vrst goljufanja s komentarji, ki jih opazimo na spletnem mestu Naked Security (komentarje moderiramo samodejno in ročno, da preprečimo, da bi prišli do njih), je »pričevanje o neželeni izterjavi sredstev«. Ti komentarji, ki so običajno namenjeni člankom, v katerih razpravljamo o zmotah s kriptovalutami, se pretvarjajo, da je komentator hudo izgubil v napadu na kriptovalute, a vendarle povrnil večino ali vsa svoja sredstva tako, da je stopil v stik s podjetjem X, posameznikom Y ali računom družbenega medija Z. Ti komentarji lažni oglasi za goljufive storitve vračila denarja morda zvenijo vabljivo, še posebej, če trdijo, da ponujajo nekakšno storitev brez plačila. Resnica pa je, da se sredstva iz kriptovalute, odtekle v psevdoanonimnih napadih te vrste, le redko povrnejo, tudi če so dejavno vključeni organi kazenskega pregona in sodišča. Ne mečite dobrega denarja za slabim.

Ne pozabite: če se sliši predobro, da bi bilo res, JE predobro, da bi bilo res.

In to velja za obljube o kriptografiji in varnosti podatkov, prav tako kot za finančne donose.