Kryptovalutaprotokoll Nomad (inte att förväxla med Monad, vilket är vad PowerShell hette när det först kom ut) beskriver sig själv as "ett optimistiskt interoperabilitetsprotokoll som möjliggör säker kommunikation över kedjan," och lovar att det är en "säkerhets-först korskedjade meddelandeprotokoll."
På vanlig engelska är det tänkt att du ska kunna byta kryptovaluta tokens av en sort mot en annan, i en handel som kallas på jargongen överbryggande.
Tjänsten drivs av ett företag går under namnet of Illusory Systems, Inc.
Tyvärr, när det kommer till cybersäkerhet, ordet illusorisk verkar passa ganska bra.
Faktum är att om du besöker Nomads "appsida" just nu [2022-08-02T14:25Z], kommer du att märka att tjänsten är helt avstängd, med knappen du vanligtvis använder för att byta ut en kryptotoken mot en annan. orden BRIDGING EJ TILLGÄNGLIG:
Som företagets Twitter-flöde anteckningar:
Uppdatering: Vi arbetar dygnet runt för att ta itu med situationen och har underrättat brottsbekämpande myndigheter och behållit ledande företag för blockchain-intelligens och kriminalteknik. Vårt mål är att identifiera de inblandade kontona och att spåra och återvinna pengarna.
1/2
— Nomad (⤭⛓🏛) (@nomadxyz_) Augusti 2, 2022
Klart sagt ser det ut som om många okända personer kunde utlösa en serie transaktioner som betalade ut en enorm mängd olika kryptomynt, utan att först betala in en motsvarande mängd av någon annan kryptovaluta.
Enligt kryptovalutaforskare @samczsun, kunde angriparna ta pengarna genom att använda vad som kallas en omspelningsattack, vilket är precis vad det låter som: du återanvänder helt enkelt data från en tidigare transaktion, men med den ursprungliga mottagarens kontouppgifter ersatta med dina egna.
Enligt @samczsun förbigick en ny uppdatering av Nomad-källkoden oavsiktligt det kritiska testet när punktsystemet frågade sig, "Har den här transaktionen godkänts?"
Så länge transaktionsdatan var korrekt strukturerad skulle överföringen gå igenom...
…så att helt enkelt kopiera en befintlig transaktion, men att bara ändra fältet "betalningsmottagare", visade sig vara det enklaste och enklaste sättet att samla in och tömma pengar.
Hanlons rakhyvel
Som du förmodligen kan föreställa dig är inte alla redo att acceptera att detta "bara var en programmeringsblunder", om än en fruktansvärt dyr sådan, med rapporter som tyder på att cirka 200,000,000 XNUMX XNUMX $ i kryptotokens läcktes från systemet i vad @samczsun beskrev som "ett frenetiskt fritt för alla":
12/ tl;dr markerade en rutinmässig uppgradering nollhash som en giltig rot, vilket hade effekten att tillåta att meddelanden förfalskades på Nomad. Angripare missbrukade detta för att kopiera/klistra in transaktioner och tömde snabbt bron i ett frenetiskt fritt för alla
- samczsun (@samczsun) Augusti 2, 2022
Vissa Twitterati använder redan ordet rugpull, en nedsättande fras i kryptomyntvärlden, brukade antyda att ett hack i kryptovaluta var något slags internt jobb, aktiverat eller utfört med avsikt. (För att vara tydlig, det finns inga bevis som stöder något av dessa förslag.)
Men, som en princip känd som Hanlons rakhyvel skämtsamt uttrycker det, det finns ingen anledning att anta illvilja när inkompetens är en alternativ förklaring.
Vad göra?
Vi vet inte riktigt vilka råd vi ska ge, annat än att mana till två typer av försiktighet:
- Ha inte bråttom att gå med i den så kallade DeFi-revolutionen. Decentraliserad ekonomi, eller Web 3.0, är ett medel för onlinehandel som syftar till att fly från den traditionella världen av mycket reglerade, centraliserade finansiella tjänster. DeFi-tjänster syftar till att låta individer handla direkt och nästan omedelbart med varandra genom onlinebetalningsinstruktioner, ofta uttryckta i form av specialiserad programkod. Men utan de regelverk som omger traditionella finansiella institutioner, är dina chanser att få tillbaka några pengar efter misstag (eller för den delen, efter insider-skurk) små. Om företaget verkligen inte har några pengar kvar eftersom cyberbrottslingar hittat ett kryphål och klarat sig med allt, då är en konkurs nästan oundviklig. Det finns ingen statlig återvinningsfond för att tillhandahålla grundläggande ersättning, som det finns med vanliga banker i många länder.
- Se upp för självutformade återhämtningsexperter som kontaktar dig efter en DeFi-katastrof. En av de vanligaste typerna av kommentarsbedrägerier vi ser på Naked Security-webbplatsen (vi modererar kommentarer både automatiskt och manuellt i ett försök att förhindra att dessa kommer igenom) är "oönskad återvinningsrekommendation". Dessa kommentarer, vanligtvis inriktade på artiklar där vi diskuterar kryptomyntmisstag, låtsas som att kommentatorn förlorade illa i en kryptovaluta, men ändå fick tillbaka det mesta eller alla sina pengar genom att kontakta företag X, eller individ Y, eller sociala mediekonto Z. Dessa falska annonser för bedrägliga pengar-tillbaka-tjänster kan låta frestande, särskilt om de påstår sig erbjuda någon form av "no-win-no-fee"-tjänst. Sanningen är dock att kryptomyntmedel som tagits bort i pseudo-anonyma attacker av detta slag sällan återvinns, även när brottsbekämpande myndigheter och domstolar är aktivt involverade. Kasta inte bra pengar efter dåliga.
Kom ihåg: om det låter för bra för att vara sant, ÄR det för bra för att vara sant.
Och det gäller kryptografiska och datasäkerhetslöften, lika mycket som det gäller ekonomisk avkastning.
- blockchain
- coingenius
- kryptokoin
- kryptovaluta
- cryptocurrency plånböcker
- kryptoväxling
- kryptografi
- Cybersäkerhet
- nätbrottslingar
- Cybersäkerhet
- Defi
- säkerhetstjänsten
- digitala plånböcker
- brandvägg
- kaspersky
- malware
- Mcafee
- Naken säkerhet
- NexBLOC
- NOMAD
- plato
- plato ai
- Platon Data Intelligence
- Platon spel
- PlatonData
- platogaming
- VPN
- sårbarhet
- webbplats säkerhet
- zephyrnet
![S3 Ep93: Kontorssäkerhet, intrångskostnader och lugna patchar [Ljud + text] PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/07/s3-ep93-1200-300x157.png "S3 Ep93: Kontorssäkerhet, intrångskostnader och lugna korrigeringar [Ljud + text]")
![S3 Ep120: När dud crypto helt enkelt inte släpper taget [Ljud + text]](https://platoblockchain.com/wp-content/uploads/2023/02/s3-ep120-when-dud-crypto-simply-wont-let-go-audio-text-300x157.png "S3 Ep120: När dud crypto helt enkelt inte släpper taget [Ljud + text]")
![S3 Ep105: WONTFIX! MS Office-krypteringsfilen som "inte är ett säkerhetsbrist" [Audio + Text] PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/10/pic-1200-360x188.png "S3 Ep105: WONTFIX! MS Office-krypteringsfilen som \"inte är ett säkerhetsbrist\" [Ljud + text]")
![S3 Ep101: Uber- och LastPass-brott – är 2FA allt det ska vara? [Ljud + text] PlatoBlockchain Data Intelligence. Vertikal sökning. Ai.](https://platoblockchain.com/wp-content/uploads/2022/09/s3-ep101-1200-360x188.jpg "S3 Ep101: Uber- och LastPass-intrång – är 2FA allt det ska vara? [Ljud + text]")
