Nomad, «розмінник токенів» криптовалют, втрачає 200 мільйонів доларів через помилку кодування

Протокол криптовалюти Кочівник (не плутати з Monad, так називалася PowerShell, коли вона вперше вийшла) описує себе as «оптимістичний протокол сумісності, який забезпечує безпечний міжланцюговий зв’язок», і обіцяє, що це a «протокол міжланцюжкового обміну повідомленнями перш за все безпеки».

Якщо говорити простою англійською мовою, це має дозволити вам обмінювати токени криптовалюти одного типу на інший, у торгівлі, відомої на жаргоні як мостинг.

Сервісом керує компанія за назвою of Illusory Systems, Inc.

На жаль, коли мова заходить про кібербезпеку, слово ілюзорний здається, підходить досить добре.

Дійсно, якщо ви відвідаєте «сторінку програми» Nomad прямо зараз [2022-08-02T14:25Z], ви помітите, що послугу повністю призупинено, а кнопку, яку ви зазвичай використовуєте для обміну одного криптовалюти на інший, замінено на слова МОСТ НЕ ДОСТУПНИЙ:

Як стрічка Twitter компанії ноти:

Оновлення: ми цілодобово працюємо над вирішенням ситуації та повідомили правоохоронні органи та залучили провідні фірми для розвідки блокчейну та криміналістики. Наша мета — ідентифікувати залучені рахунки, відстежити та повернути кошти.

1/2

— Nomad (⤭⛓🏛) (@nomadxyz_) Серпень 2, 2022

Відверто кажучи, схоже, що численні невідомі особи змогли ініціювати низку транзакцій, які виплачували величезну кількість різних криптовалют, не сплачуючи попередньо еквівалентну суму в будь-якій іншій криптовалюті.

За словами дослідника криптовалют @samczsun, зловмисники змогли заволодіти коштами за допомогою так званого a повторна атака, це саме те, що це звучить: ви просто повторно використовуєте дані з попередньої транзакції, але з оригінальними даними облікового запису одержувача замінюєте свої власні.

За словами @samczsun, нещодавнє оновлення вихідного коду Nomad випадково обійшло критичний тест у системі балів, яка запитала себе: «Чи схвалено цю транзакцію?»

Поки дані транзакції були правильно структуровані, передача проходила б через...

…так що просте копіювання існуючої транзакції, але зміна лише поля «одержувач платежу», виявилося найпростішим і найлегшим способом пройти перевірку та злити кошти.

Бритва Хенлона

Як ви, мабуть, можете собі уявити, не всі готові визнати, що це була «просто програмна помилка», хоча й жахливо дорога, із звітами, які свідчать про те, що близько 200,000,000 XNUMX XNUMX доларів США в криптовалютах було вилучено із системи, як @samczsun описав як «несамовитий вільний для всіх»:

12/ tl;dr рутинне оновлення позначило нульовий хеш як дійсний корінь, що призвело до підробки повідомлень на Nomad. Зловмисники зловживали цим, щоб копіювати/вставляти транзакції, і швидко спустошили міст у шаленому безкоштовному режимі

- samczsun (@samczsun) Серпень 2, 2022

Деякі твіттери вже використовують це слово rugpulll, принизлива фраза у світі криптовалют, яка використовується для того, щоб означати, що злом криптовалюти був певною внутрішньою роботою, дозволеною або здійсненою навмисно. (Щоб було зрозуміло, немає жодних доказів на підтримку будь-якої з цих пропозицій.)

Але, як принцип, відомий як Бритва Хенлона жартівливо кажучи, немає потреби припускати злий умисел, якщо альтернативним поясненням є некомпетентність.

Що ж робити?

Ми насправді не знаємо, яку пораду запропонувати, окрім заклику до двох видів обережності:

• Не поспішайте приєднуватися до так званої революції DeFi. Децентралізовані фінанси, або Web 3.0, є засобом онлайн-торгівлі, який має на меті вийти з традиційного світу жорстко регульованих централізованих фінансових послуг. Послуги DeFi спрямовані на те, щоб дозволити людям торгувати безпосередньо та майже відразу один з одним за допомогою онлайн-платіжних інструкцій, часто виражених у формі спеціалізованого програмного коду. Але без регуляторної бази, яка оточує традиційні фінансові установи, ваші шанси повернути будь-які гроші після грубих помилок (або, якщо на те пішло, після внутрішньої шахрайства) невеликі. Якщо у компанії справді не залишилося грошей через те, що кіберзлочинці знайшли лазівку та втекли з усім цим, то банкрутство майже неминуче. Немає державного фонду відновлення, який би забезпечував базову реституцію, як це відбувається з основними банками в багатьох країнах.
• Слідкуйте за самозваними експертами з відновлення, які зв’яжуться з вами після катастрофи DeFi. Одним із найпоширеніших типів шахрайства з коментарями, який ми бачимо на сайті Naked Security (ми модеруємо коментарі як автоматично, так і вручну, намагаючись запобігти їх проникненню), є «рекомендація про повернення непроханих коштів». Ці коментарі, як правило, спрямовані на статті, в яких ми обговорюємо помилки з криптовалютою, прикидаються, що коментатор серйозно програв у криптовалютній афері, але повернув більшу частину або всі свої кошти, зв’язавшись з компанією X, особою Y або обліковим записом у соціальних мережах Z. Це фальшиві оголошення про шахрайські послуги повернення грошей можуть здатися спокусливими, особливо якщо вони стверджують, що пропонують якусь безпрограшну послугу без комісії. Проте правда полягає в тому, що кошти криптовалюти, виведені під час псевдоанонімних атак такого роду, рідко повертаються, навіть якщо правоохоронні органи та суди активно залучені. Не викидайте хороші гроші після поганих.

Пам'ятайте: якщо це звучить занадто добре, щоб бути правдою, це НАДВАГО добре, щоб бути правдою.

І це стосується обіцянок криптографії та безпеки даних так само, як і фінансових прибутків.