Cryptocoin “người trao đổi mã thông báo” Nomad mất 200 triệu đô la trong sai lầm mã hóa

Giao thức tiền điện tử Vô định (đừng nhầm với Monad, đó là cái mà PowerShell được gọi khi nó lần đầu tiên ra mắt) tự mô tả as "Một giao thức khả năng tương tác lạc quan cho phép giao tiếp chuỗi chéo an toàn," và hứa rằng đó là một “Giao thức nhắn tin xuyên chuỗi bảo mật đầu tiên”.

Bằng tiếng Anh đơn giản, nó phải cho phép bạn hoán đổi mã thông báo tiền điện tử của một loại này cho một loại khác, trong một giao dịch được gọi bằng biệt ngữ là cầu nối.

Dịch vụ được điều hành bởi một công ty đi theo tên of Hệ thống ảo ảnh, Inc.

Thật không may, khi nói đến an ninh mạng, từ hão huyền có vẻ khá phù hợp.

Thật vậy, nếu bạn truy cập “trang ứng dụng” của Nomad ngay bây giờ [2022-08-02T14: 25Z], bạn sẽ nhận thấy rằng dịch vụ hoàn toàn bị tạm ngưng, với nút bạn thường sử dụng để giao dịch một cryptotoken cho một cryptotoken khác được thay thế bằng các từ BRIDGING UNAVAILABLE:

Là nguồn cấp dữ liệu Twitter của công ty ghi chú:

Cập nhật: Chúng tôi đang làm việc suốt ngày đêm để giải quyết tình hình và đã thông báo cho cơ quan thực thi pháp luật và giữ lại các công ty hàng đầu về trí tuệ và pháp y blockchain. Mục tiêu của chúng tôi là xác định các tài khoản liên quan và truy tìm và thu hồi tiền.

1/2

- Nomad (⤭⛓🏛) (@nomadxyz_) Tháng Tám 2, 2022

Nói một cách rõ ràng, có vẻ như rất nhiều người không rõ danh tính đã có thể kích hoạt một loạt các giao dịch thanh toán một số lượng lớn các loại tiền điện tử khác nhau, mà không phải trả trước bằng một số tiền tương đương của bất kỳ loại tiền điện tử nào khác.

Theo nhà nghiên cứu tiền mã hóa @samczsun, những kẻ tấn công có thể lấy tiền bằng cách sử dụng cái được gọi là phát lại cuộc tấn công, nghe chính xác như thế nào: bạn chỉ cần sử dụng lại dữ liệu từ giao dịch trước đó, nhưng với chi tiết tài khoản của người nhận ban đầu được thay thế bằng thông tin của chính bạn.

Theo @samczsun, bản cập nhật gần đây trong mã nguồn Nomad đã vô tình vượt qua bài kiểm tra quan trọng tại hệ thống điểm tự hỏi: "Giao dịch này đã được chấp thuận chưa?"

Miễn là dữ liệu giao dịch được cấu trúc chính xác, quá trình chuyển sẽ diễn ra…

… Để chỉ cần sao chép một giao dịch hiện có, nhưng chỉ sửa đổi trường “người nhận thanh toán”, hóa ra lại là cách đơn giản và dễ dàng nhất để vượt qua tập hợp và rút tiền.

Hanlon Razor

Như bạn có thể tưởng tượng, không phải ai cũng sẵn sàng chấp nhận rằng đây "chỉ là một sai lầm trong lập trình", mặc dù một lỗi đắt kinh khủng, với các báo cáo cho thấy rằng khoảng 200,000,000 đô la tiền mã hóa đã được lấy từ hệ thống theo những gì @samczsun mô tả là "Một miễn phí điên cuồng cho tất cả":

12 / tl; dr một bản nâng cấp định kỳ đã đánh dấu băm XNUMX là gốc hợp lệ, có tác dụng cho phép giả mạo thông báo trên Nomad. Những kẻ tấn công đã lạm dụng điều này để sao chép / dán các giao dịch và nhanh chóng rút cạn cây cầu một cách điên cuồng miễn phí cho tất cả

- samczsun (@samczsun) Tháng Tám 2, 2022

Một số Twitterati đã sử dụng từ chó kéo, một cụm từ đáng ghét trong thế giới tiền điện tử, được sử dụng để ngụ ý rằng một cuộc tấn công tiền điện tử là một loại công việc nội bộ, được kích hoạt hoặc thực hiện có chủ đích. (Nói rõ hơn, không có bằng chứng nào chứng minh cho bất kỳ đề xuất nào trong số này.)

Nhưng, như một nguyên tắc được gọi là Hanlon Razor Nói một cách vui vẻ, không cần phải cho rằng ác ý khi sự kém cỏi là một cách giải thích thay thế.

Phải làm gì?

Chúng tôi thực sự không biết nên đưa ra lời khuyên nào, ngoài việc khuyến khích hai loại thận trọng:

• Đừng vội vàng tham gia cái gọi là cuộc cách mạng DeFi. Tài chính phi tập trung, hay Web 3.0, là một phương tiện giao dịch trực tuyến nhằm thoát khỏi thế giới truyền thống của các dịch vụ tài chính tập trung, được quản lý chặt chẽ. Dịch vụ DeFi nhằm mục đích cho phép các cá nhân giao dịch trực tiếp và gần như ngay lập tức với nhau thông qua các hướng dẫn thanh toán trực tuyến, thường được thể hiện dưới dạng mã chương trình chuyên biệt. Nhưng nếu không có các khuôn khổ pháp lý bao quanh các điều khoản tài chính truyền thống, cơ hội của bạn để thu hồi bất kỳ khoản tiền nào sau những sai lầm sai lầm (hoặc, đối với vấn đề đó, sau khi lừa đảo nội bộ) là rất mỏng. Nếu công ty thực sự không còn tiền vì tội phạm mạng đã tìm thấy sơ hở và phá sản bằng hết, thì việc phá sản là điều gần như không thể tránh khỏi. Không có quỹ phục hồi của chính phủ để cung cấp các khoản bồi thường cơ bản, giống như các ngân hàng chính thống ở nhiều nước.
• Hãy để ý các chuyên gia phục hồi tự phong, những người liên hệ với bạn sau thảm họa DeFi. Một trong những kiểu lừa đảo nhận xét phổ biến nhất mà chúng tôi thấy trên trang Naked Security (chúng tôi kiểm duyệt các nhận xét cả tự động và thủ công nhằm nỗ lực ngăn chặn những nhận xét này xảy ra) là “lời chứng thực khôi phục tiền không mong muốn”. Những bình luận này, thường nhắm vào các bài báo trong đó chúng ta thảo luận về những sai lầm trong tiền điện tử, giả vờ rằng người bình luận đã thua nặng trong một vụ đánh cắp tiền điện tử, nhưng đã thu hồi hầu hết hoặc tất cả số tiền của họ bằng cách liên hệ với công ty X, cá nhân Y hoặc tài khoản mạng xã hội Z. Những những quảng cáo giả mạo cho các dịch vụ hoàn tiền lừa đảo nghe có vẻ hấp dẫn, đặc biệt nếu họ tuyên bố cung cấp một số loại dịch vụ “không thắng không phí”. Tuy nhiên, sự thật là các quỹ tiền điện tử bị bòn rút trong các cuộc tấn công giả mạo kiểu này hiếm khi được phục hồi, ngay cả khi cơ quan thực thi pháp luật và tòa án tích cực tham gia. Đừng ném tiền tốt sau xấu.

Ghi nhớ: nếu nó nghe có vẻ quá tốt là đúng, nó là quá tốt để trở thành sự thật.

Và điều đó áp dụng cho các hứa hẹn về bảo mật dữ liệu và mật mã, cũng giống như lợi nhuận tài chính.