El protocolo de mensajería entre cadenas Nomad se ha convertido en el objetivo del último ataque de nueve cifras de cripto después de que los piratas informáticos abusaran de una vulnerabilidad de seguridad “caótica” para robar casi $ 200 millones en activos digitales.
Nomad, un puente de tokens que permite a los usuarios enviar y recibir tokens entre las cadenas de bloques Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) y Milkomeda C1, fue atacado el lunes, y los piratas informáticos drenaron casi todo el fondos del protocolo.
Se robaron aproximadamente USD 190,7 millones en criptomonedas del puente, según la plataforma de seguimiento de finanzas descentralizadas Llama DeFique muestra que el valor total actual bloqueado (la cantidad de fondos de usuario depositados en un protocolo DeFi) es inferior a $ 12,000 en el momento de escribir este artículo.
Nomad aún tiene que confirmar cómo los piratas informáticos pudieron robar los fondos. Pero según samczsun, el jefe de seguridad de la firma de inversión web3 Paradigm, una actualización reciente de uno de los contratos inteligentes de Nomad facilitó a los usuarios falsificar transacciones. Esto significaba que cuando un usuario transfirió fondos de una cadena de bloques a otra, Nomad supuestamente nunca verificó la cantidad, lo que permitió al usuario retirar fondos que no les pertenecían. Por ejemplo, un usuario podría enviar 1 ETH y luego llamar manualmente al contrato inteligente en la otra cadena de bloques para recibir 100 ETH. Compañía de auditoría de blockchain Zellic también vino a la misma conclusión.
“Es como usar una chequera para retirar fondos de un banco, y el banco no verifica si realmente tenemos suficiente dinero”, dijo a TechCrunch Adrian Hetman, líder técnico del equipo de evaluación del programa de recompensas por errores web3 Immunefi. “Solo les importa que el cheque en sí parezca válido”.
12/ tl;dr una actualización de rutina marcó el hash cero como una raíz válida, lo que tuvo el efecto de permitir que los mensajes se suplantaran en Nomad. Los atacantes abusaron de esto para copiar/pegar transacciones y rápidamente vaciaron el puente en una frenética lucha contra todos.
– samczsun (@samczsun) 2 de agosto de 2022
Samczun explica que, a diferencia de la mayoría de los ataques de puentes en los que un solo culpable está detrás de todo el exploit, el ataque “caótico” de Nomad fue gratuito para todos en el que los oportunistas acudieron en masa para robar fondos del puente una vez que se corrió la voz, lo que resultó en lo que el investigador describió. como un “frenético todos contra todos”. Empresa de seguridad de cadena de bloques Peckshield dijo que más de 41 direcciones agotaron $ 152 millones, o el 80% de los fondos robados.
“Todo lo que se requería para explotarlo era copiar la transacción del pirata informático original y cambiar la dirección original a una personalizada. Simple copiar y pegar”, agregó Hetman.
El incidente afectó a Wrapped Ether (WETH), USD Coin (USDC), WBTC y otros tokens que se drenaron del puente.
TechCrunch contactó a Nomad pero aún no ha recibido una respuesta. Sin embargo, la empresa llevó a Twitter para advertir sobre imitadores que intentan recaudar fondos. “Somos conscientes de los imitadores que se hacen pasar por nómadas y proporcionan direcciones fraudulentas para recaudar fondos”, dijo. “Todavía no estamos dando instrucciones para devolver los fondos puente. Ignore las comunicaciones de todos los canales que no sean el canal oficial de Nomad”.
En un tweet separado, Nomad confirmó que notificó a las fuerzas del orden público y contrató a firmas líderes para inteligencia y análisis forense de blockchain con el objetivo de “identificar las cuentas involucradas y rastrear y recuperar los fondos”.
El ataque se produce pocos días después de Nomad. reveló que una serie de inversores criptográficos de alto perfil, incluidos Coinbase Ventures, Mar abiertoPolygon y Crypto.com Capital, habían participado en su ronda semilla de abril de $ 22 millones, que le dio a la compañía una valoración de $ 225 millones.
“En Nomad, nuestro objetivo es hacer que sea más seguro comunicarse entre cadenas de bloques”, dijo Nomad la semana pasada. “Creemos que la mensajería segura entre cadenas es la clave para unir los ecosistemas DeFi y desbloquear el verdadero poder y potencial del espacio de bloques, donde sea que esté”.
El ataque Nomad es el último de una serie de incidentes muy publicitados que han puesto en duda la seguridad de los puentes entre cadenas. El puente Ronin de Axie Infinity perdió más de $ 600 millones en un ataque en abril de este año y el puente Horizon de Harmony perdió $ 100 millones en junio.