Cryptocoin “token swapper” Nomad สูญเสีย $ 200 ล้านในความผิดพลาดในการเข้ารหัส

โปรโตคอล Cryptocurrency พเนจร (เพื่อไม่ให้สับสนกับ Monad ซึ่ง PowerShell เรียกว่า PowerShell ตอนเปิดตัวครั้งแรก) อธิบายตัวเอง as “โปรโตคอลการทำงานร่วมกันในแง่ดีที่ช่วยให้การสื่อสารข้ามสายโซ่ปลอดภัย” และสัญญาว่ามันคือ “โปรโตคอลการส่งข้อความข้ามสายโซ่ที่เน้นความปลอดภัยเป็นหลัก”

ในภาษาอังกฤษธรรมดา มันควรจะให้คุณแลกเปลี่ยนโทเค็นสกุลเงินดิจิทัลประเภทหนึ่งเป็นอีกประเภทหนึ่งได้ ในการค้าที่รู้จักกันในศัพท์เฉพาะว่า การแก้.

ให้บริการโดยบริษัท ไปตามชื่อ of Illusory Systems, Inc.

น่าเสียดาย เมื่อพูดถึงความปลอดภัยทางไซเบอร์ คำว่า ลวงตา ดูเหมือนจะเข้ากันได้ดีทีเดียว

อันที่จริง หากคุณไปที่ "หน้าแอป" ของ Nomad ตอนนี้ [2022-08-02T14:25Z] คุณจะสังเกตเห็นว่าบริการถูกระงับทั้งหมด โดยมีปุ่มที่คุณใช้ปกติเพื่อแลกเปลี่ยน cryptotoken หนึ่งกับอีกอันแทนที่ด้วย คำว่า BRIDGING ไม่พร้อมใช้งาน:

เป็นฟีด Twitter ของบริษัท บันทึก:

อัปเดต: เรากำลังดำเนินการตลอดเวลาเพื่อแก้ไขสถานการณ์และได้แจ้งหน่วยงานบังคับใช้กฎหมายและยังคงรักษาบริษัทชั้นนำไว้สำหรับข่าวกรองและนิติวิทยาศาสตร์ของบล็อกเชน เป้าหมายของเราคือการระบุบัญชีที่เกี่ยวข้องและเพื่อติดตามและกู้คืนเงิน

1/2

— เร่ร่อน (⤭⛓🏛) (@nomadxyz_) สิงหาคม 2, 2022

กล่าวอย่างชัดแจ้ง ดูเหมือนว่าบุคคลจำนวนมากที่ไม่รู้จักสามารถกระตุ้นธุรกรรมหลายชุดที่จ่าย cryptocoins จำนวนมากในปริมาณมหาศาล โดยไม่ต้องจ่ายเงินในจำนวนที่เทียบเท่ากับสกุลเงินดิจิตอลอื่น ๆ ก่อน

ตามที่นักวิจัยของ cryptocurrency @samczsun, ผู้โจมตีสามารถคว้าเงินโดยใช้สิ่งที่เรียกว่า เล่นซ้ำโจมตีซึ่งดูเหมือนว่า: คุณเพียงแค่ใช้ข้อมูลจากธุรกรรมก่อนหน้าซ้ำ แต่ด้วยรายละเอียดบัญชีของผู้รับเดิมจะถูกแทนที่ด้วยข้อมูลของคุณเอง

ตาม @samczsun การอัปเดตล่าสุดในซอร์สโค้ด Nomad ได้เลี่ยงการทดสอบที่สำคัญที่ระบบจุดที่ถามตัวเองว่า "ธุรกรรมนี้ได้รับการอนุมัติหรือไม่"

ตราบใดที่ข้อมูลธุรกรรมมีโครงสร้างที่ถูกต้อง การโอนก็จะผ่าน...

…เพื่อให้เพียงแค่คัดลอกธุรกรรมที่มีอยู่ แต่การแก้ไขเฉพาะฟิลด์ "ผู้รับเงิน" กลับกลายเป็นวิธีที่ง่ายและง่ายที่สุดในการรวบรวมและระบายเงินออก

มีดโกนของ Hanlon

อย่างที่คุณอาจจินตนาการได้ ไม่ใช่ทุกคนที่พร้อมที่จะยอมรับว่านี่เป็น “เพียงความผิดพลาดในการเขียนโปรแกรม” แม้ว่าจะมีราคาแพงอย่างน่ากลัว โดยมีรายงานระบุว่าประมาณ 200,000,000 ดอลลาร์ใน cryptotokens ถูกปลิงออกจากระบบในสิ่งที่ @samczsun อธิบายว่า “บ้าฟรีสำหรับทุกคน”:

12/ tl;dr การอัปเกรดตามปกติระบุว่าแฮชศูนย์เป็นรูทที่ถูกต้อง ซึ่งส่งผลต่อการอนุญาตให้ปลอมแปลงข้อความบน Nomad ผู้โจมตีใช้สิ่งนี้ในทางที่ผิดเพื่อคัดลอก/วางธุรกรรมและระบายสะพานอย่างรวดเร็วด้วยความบ้าคลั่งฟรีสำหรับทุกคน

— แซมซซัน (@samczsun) สิงหาคม 2, 2022

Twitterati บางคนใช้คำว่า .แล้ว Rugpullวลีที่ดูถูกในโลกของ cryptocoin ใช้เพื่อบอกเป็นนัยว่าแฮ็ค cryptocurrency เป็นงานภายในบางอย่าง เปิดใช้งานหรือดำเนินการโดยเจตนา (เพื่อให้ชัดเจน ไม่มีหลักฐานสนับสนุนคำแนะนำเหล่านี้)

แต่ตามหลักการที่เรียกว่า มีดโกนของ Hanlon พูดอย่างตลกขบขันไม่จำเป็นต้องสมมติความอาฆาตพยาบาทเมื่อความไร้ความสามารถเป็นคำอธิบายทางเลือก

จะทำอย่างไร?

เราไม่รู้จริงๆ ว่าควรให้คำแนะนำอะไร นอกจากการเตือนให้ระวังสองประเภท:

• อย่ารีบร้อนที่จะเข้าร่วมการปฏิวัติที่เรียกว่า DeFi การกระจายอำนาจทางการเงินหรือ Web 3.0 เป็นเครื่องมือสำหรับการซื้อขายออนไลน์ที่มีจุดมุ่งหมายเพื่อหลีกหนีจากโลกแบบดั้งเดิมของบริการทางการเงินแบบรวมศูนย์ที่มีการควบคุมอย่างเข้มงวด บริการ DeFi มุ่งหวังที่จะอนุญาตให้บุคคลทำการค้าโดยตรงและเกือบจะในทันทีกับอีกคนหนึ่งผ่านคำแนะนำการชำระเงินออนไลน์ ซึ่งมักจะแสดงในรูปแบบของรหัสโปรแกรมเฉพาะ แต่หากไม่มีกรอบการกำกับดูแลที่ล้อมรอบสัญชาตญาณทางการเงินแบบดั้งเดิม โอกาสในการได้เงินคืนหลังจากความผิดพลาด หากบริษัทไม่มีเงินเหลือจริง ๆ เพราะอาชญากรไซเบอร์พบช่องโหว่และปลดเปลื้องมันทั้งหมด การล้มละลายแทบจะหลีกเลี่ยงไม่ได้ ไม่มีกองทุนฟื้นฟูของรัฐบาลในการชดใช้ค่าเสียหายขั้นพื้นฐาน เช่นเดียวกับธนาคารกระแสหลักในหลายประเทศ
• ระวังผู้เชี่ยวชาญด้านการกู้คืนที่มีสไตล์ในตัวเองซึ่งจะติดต่อคุณหลังจากเกิดภัยพิบัติ DeFi การหลอกลวงความคิดเห็นประเภทหนึ่งที่พบบ่อยที่สุดที่เราเห็นในไซต์ Naked Security (เรากลั่นกรองความคิดเห็นทั้งแบบอัตโนมัติและด้วยตนเองเพื่อพยายามหยุดไม่ให้สิ่งเหล่านี้ผ่านไป) คือ "คำรับรองการเรียกคืนเงินทุนที่ไม่พึงประสงค์" ความคิดเห็นเหล่านี้มักมุ่งเป้าไปที่บทความที่เราพูดถึงความผิดพลาดของ cryptocoin แสร้งทำเป็นว่าผู้แสดงความคิดเห็นสูญเสียการต่อยของสกุลเงินดิจิทัลอย่างเลวร้าย แต่ยังกู้คืนเงินส่วนใหญ่หรือทั้งหมดโดยติดต่อบริษัท X หรือ Y บุคคลหรือบัญชีโซเชียลมีเดีย Z เหล่านี้ โฆษณาปลอมสำหรับบริการคืนเงินที่เป็นการฉ้อโกงอาจฟังดูน่าดึงดูด โดยเฉพาะอย่างยิ่งหากพวกเขาอ้างว่าเสนอบริการที่ อย่างไรก็ตาม ความจริงก็คือ กองทุน cryptocoin ที่ถูกดูดกลืนไปในการโจมตีแบบไม่เปิดเผยตัวตนประเภทนี้แทบจะไม่ได้รับการกู้คืน แม้ว่าหน่วยงานบังคับใช้กฎหมายและศาลจะมีส่วนเกี่ยวข้องอย่างแข็งขันก็ตาม อย่าโยนเงินดีทิ้งเสีย

จำเอาไว้: ถ้ามันฟังดูดีเกินกว่าจะเป็นจริง มันก็ดีเกินกว่าจะเป็นจริงได้

และนั่นก็เป็นไปตามคำสัญญาด้านการเข้ารหัสและความปลอดภัยของข้อมูล มากพอๆ กับผลตอบแทนทางการเงิน