加密货币协议 游牧 (不要与 Monad 混淆,这是 PowerShell 刚出现时的名称) 描述自己 as “一种乐观的互操作性协议,可实现安全的跨链通信,” 并承诺这是一个 “安全第一的跨链消息传递协议”。
用简单的英语来说,它应该让你将一种加密货币代币换成另一种,在行话中称为 桥接.
该服务由一家公司运营 名副其实 of 幻觉系统公司
不幸的是,当谈到网络安全时,这个词 虚幻 似乎很适合。
实际上,如果您现在访问 Nomad “应用程序页面” [2022-08-02T14:25Z],您会注意到该服务已完全暂停,您通常用来将一个加密令牌换成另一个加密令牌的按钮被替换为桥接不可用的话:
作为公司的 Twitter 提要 笔记:
更新:我们正在全天候工作以解决这种情况,并已通知执法部门并保留了领先的区块链情报和取证公司。 我们的目标是识别涉及的账户并追踪和追回资金。
1/2
— 游牧民族 (⤭⛓🏛) (@nomadxyz_) 2022 年 8 月 2 日
简而言之,看起来许多不知名的人能够触发一系列交易,支付大量各种加密货币,而无需先支付等量的任何其他加密货币。
根据加密货币研究员 @samczsun,攻击者能够通过使用所谓的 重播攻击,这正是它听起来的样子:您只需重新使用先前交易中的数据,但将原始收件人的帐户详细信息替换为您自己的。
根据@samczsun 的说法,Nomad 源代码的最新更新无意中绕过了关键测试,系统自问:“这笔交易是否获得批准?”
只要交易数据结构正确,转账就会通过……
......所以简单地复制现有交易,但只修改“收款人”字段,结果证明是通过集合和耗尽资金的最简单和最简单的方法。
汉隆的剃刀
正如您可能想象的那样,并不是每个人都准备好接受这“只是一个编程错误”,尽管这是一个非常昂贵的错误,有报道称,大约 200,000,000 亿美元的加密代币从系统中被盗取,@samczsun 将其描述为 “一场疯狂的混战”:
12/ tl;dr 例行升级将零哈希标记为有效根,这具有允许在 Nomad 上欺骗消息的效果。 攻击者滥用它来复制/粘贴交易,并在疯狂的混战中迅速耗尽了桥梁
-samczsun(@samczsun) 2022 年 8 月 2 日
一些 Twitterati 已经在使用这个词 地毯,加密货币世界中的一个贬义词,用于暗示加密货币黑客是某种内部工作,是故意启用或执行的。 (需要明确的是,没有证据支持这些建议。)
但是,作为一个众所周知的原则 汉隆的剃刀 诙谐地说,当无能是另一种解释时,没有必要假设恶意。
怎么办呢?
我们真的不知道该提供什么建议,除了敦促两种谨慎:
- 不要急于加入所谓的 DeFi 革命。 去中心化金融或 Web 3.0,是一种在线交易工具,旨在摆脱高度监管、集中化金融服务的传统世界。 DeFi 服务旨在让个人通过在线支付指令直接和几乎立即进行交易,通常以专门的程序代码的形式表达。 但是,如果没有围绕传统金融机构的监管框架,您在犯错(或就此而言,在内部流氓之后)追回任何资金的机会很小。 如果公司真的因为网络犯罪分子发现漏洞并一无所获而一无所有,那么破产几乎是不可避免的。 没有像许多国家的主流银行那样提供基本赔偿的政府复苏基金。
- 当心自封的恢复专家,他们在 DeFi 灾难后与您联系。 我们在 Naked Security 网站上看到的最常见的评论诈骗类型之一(我们自动和手动审核评论以阻止这些评论通过)是“未经请求的资金回收证明”。 这些评论通常针对我们讨论加密货币失误的文章,假装评论者在加密货币攻击中损失惨重,但通过联系 X 公司、个人 Y 或社交媒体帐户 Z 收回了大部分或全部资金。这些欺诈性退款服务的虚假广告听起来很诱人,特别是如果他们声称提供某种“不赢不收费”的服务。 然而,事实是,即使在执法部门和法院积极参与的情况下,在此类伪匿名攻击中被抽走的加密货币资金也很少被追回。 不要在坏钱之后扔好钱。
记得: 如果听起来好得令人难以置信,那就太好了,令人难以置信。
这适用于加密和数据安全承诺,就像它适用于财务回报一样。