Milliarder af dollars af værdi er blevet udslettet fra kryptovalutamarkedet i de seneste måneder. Virksomheder i branchen mærker smerten. Udlåns- og handelsvirksomheder står over for en likviditetskrise, og mange virksomheder har annonceret fyringer.
Yu Chun Christopher Wong | S3studio | Getty billeder
Hackere drænede næsten 200 millioner dollars i kryptovaluta fra Nomad, et værktøj, der lader brugere bytte tokens fra en blockchain til en anden, i endnu et angreb, der fremhæver svagheder i det decentraliserede finansområde.
Nomad erkendte udnyttelsen i et tweet sent mandag.
"Vi er opmærksomme på hændelsen, der involverer Nomad token-broen," sagde opstarten. "Vi undersøger i øjeblikket og vil give opdateringer, når vi har dem."
Det er ikke helt klart, hvordan angrebet blev orkestreret, eller om Nomad planlægger at refundere brugere, der mistede tokens i angrebet. Virksomheden, der markedsfører sig selv som en "sikker cross-chain messaging"-tjeneste, var ikke umiddelbart tilgængelig for kommentarer, da den blev kontaktet af CNBC.
Blockchain-sikkerhedseksperter beskrev udnyttelsen som en "gratis for alle". Enhver med viden om udnyttelsen, og hvordan den fungerede, kunne gribe fejlen og hæve et antal tokens fra Nomad - lidt som en pengeautomat, der spyr penge ud med et tryk på en knap.
Det startede med en opgradering til Nomads kode. En del af koden blev markeret som gyldig, hver gang brugere besluttede at igangsætte en overførsel, hvilket gjorde det muligt for tyvene at hæve flere aktiver, end der blev indsat på platformen. Da andre angribere først var klogere på, hvad der foregik, indsatte de hære af bots til at udføre copycat-angreb.
"Uden forudgående programmeringserfaring kunne enhver bruger blot kopiere de oprindelige angriberes transaktionsopkaldsdata og erstatte adressen med deres for at udnytte protokollen," sagde Victor Young, grundlægger og chefarkitekt for crypto-startup Analog.
"I modsætning til tidligere angreb blev Nomad-hacket et gratis for alle, hvor flere brugere begyndte at dræne netværket ved blot at afspille de originale angriberes transaktionsopkaldsdata."
Sam Sun, forskningspartner hos det kryptofokuserede investeringsselskab Paradigm, beskrevet udnyttelsen som "et af de mest kaotiske hacks, som Web3 nogensinde har set" - Web3 er en hypotetisk fremtidig iteration af internettet bygget op omkring blockchain-teknologi.
Nomad er det, der er kendt som en "bro", et værktøj, der lader brugere udveksle tokens og information mellem forskellige kryptonetværk. De bruges som et alternativ til at foretage transaktioner direkte på en blockchain som Ethereum, som kan opkræve brugere høje behandlingsgebyrer, når der sker masser af aktivitet på én gang.
Forekomster af sårbarheder og dårligt design har gjort broer til et primært mål for hackere, der søger at snyde investorer ud af millioner. Mere end 1 milliard dollars i kryptoaktiver er blevet stjålet gennem broudnyttelser indtil videre i 2022, ifølge en rapport fra krypto-overholdelsesfirmaet Elliptic.
I april blev en blockchain-bro kaldet Ronin udnyttet i en 600 millioner dollars krypto-tyveri, som amerikanske embedsmænd siden har tilskrevet den nordkoreanske stat. Nogle måneder senere blev Harmony, en anden bro, drænet for $100 millioner i et lignende angreb.
Ligesom Ronin og Harmony blev Nomad målrettet gennem en fejl i dens kode - men der var et par forskelle. Med disse angreb var hackere i stand til at hente de nødvendige private nøgler for at få kontrol over netværket og begynde at flytte tokens ud. I Nomads tilfælde var det meget enklere end som så. En rutinemæssig opdatering af broen gjorde det muligt for brugere at forfalske transaktioner og komme afsted med kryptoværdi for millioner.
Kilde: https://www.cnbc.com/2022/08/02/hackers-drain-nearly-200-million-from-crypto-startup-nomad.html