Nomad, un puente de cadena cruzada, perdió $ 200 millones (aproximadamente Rs. 1570 millones de rupias) en lo que los investigadores de seguridad llaman un exploit «gratis para todos». A diferencia de los ataques convencionales en los que un solo culpable es responsable del exploit, el caso de Nomad fue diferente. Sam Sun, investigador de Paradigm, explicó que una actualización reciente del contrato inteligente de Nomad hizo conveniente para los usuarios falsificar transacciones y retirar fondos de un puente que originalmente no les pertenecía. hazañas caóticas que se han producido en el sector Web3 hasta ahora.
Nomad permite a los usuarios enviar y recibir criptomonedas entre diferentes cadenas de bloques. Los puentes entre cadenas como Nomad normalmente bloquean tokens en un contrato inteligente en una cadena y vuelven a emitir esos tokens en una forma «empaquetada» en otra cadena.
En el caso de Nomad, se saboteó un contrato inteligente en el que inicialmente se depositaban los tokens, lo que permitió que los explotadores operaran.
“Es por eso que el truco fue tan caótico: no necesitabas saber sobre Solidity o Merkle Trees ni nada por el estilo. Todo lo que tenía que hacer era encontrar una transacción que funcionara, encontrar/reemplazar la dirección de la otra persona con la suya y luego transmitirla nuevamente”, escribió Sun como parte de su hilo de Twitter, decodificando la dinámica del exploit Nomad.
12/ tl;dr una rutina de actualización marca el hash nulo como una raíz válida, lo que tiene el efecto de permitir que los mensajes se falsifiquen en Nomad. Los atacantes abusan de esto para copiar/pegar transacciones y drenar rápidamente el puente en un frenético juego de todos contra todos.
– samczsun (@samczsun) 2 de agosto de 2022
Aunque Crossbridge no ha emitido un comunicado de prensa sobre el incidente, sí publicó un tuit reconociendo que estaba al tanto del caso.
Somos conscientes de los imitadores que se hacen pasar por nómadas y proporcionan direcciones de recaudación de fondos fraudulentas. Todavía no proporcionamos instrucciones para devolver los fondos puente. Ignora los mensajes de todos los canales que no sean el canal oficial de Nomad: @nomadxyz_
— Nómada (⤭⛓🏛) (@nomadxyz_) 2 de agosto de 2022
Somos conscientes del incidente relacionado con el puente de fichas de Nomad. Actualmente estamos investigando y proporcionaremos actualizaciones a medida que las recibamos.
— Nómada (⤭⛓🏛) (@nomadxyz_) 1 de agosto de 2022
Se sigue esperando la respuesta detallada de Nomad al incidente.
Los puentes se han convertido en un elemento popular de la criptosfera ahora que más personas han comenzado a intercambiar activos entre diferentes cadenas de bloques.
Estos puentes de cadena de bloques han atraído la atención de los piratas informáticos, que buscan constantemente formas de explotarlos.
En marzo, un ataque de pirateo en el puente Ronin de Axie Infinity drenó la friolera de $ 625 millones (aproximadamente Rs. 4,729 millones de rupias) de la compañía de juegos Sky Mavis. La red Ronin, diseñada por el desarrollador de Axie Infinity Sky Mavis, actúa como un puente entre el videojuego y la cadena de bloques, que permite la transferencia de criptomonedas dentro y fuera del juego.
En febrero, Wormhole, un portal que permite a las personas cambiar de una criptomoneda a otra, también sufrió una brecha y perdió $ 322 millones en Ether (aproximadamente Rs. 2410 millones de rupias).