Nomad Token Bridge, 'Frenzied Free-For-All'에서 190억 XNUMX천만 달러에 습격

토큰 브릿지 Nomad는 공격자가 190억 XNUMX천만 달러 이상의 암호화폐에 대해 프로토콜을 급습한 후 "광란에 휩싸인 모든 것"을 겪었습니다.

호환 가능한 블록체인 간에 ERC-20 토큰을 전송하기 위한 "보안 우선" 플랫폼으로 자신을 마케팅하는 Nomad는 화요일 아침 트윗에서 급습을 확인했습니다.

이 사건은 올해 토큰 브리지를 무력화시키는 다른 대규모 해킹과 다릅니다. 토큰 브리지를 사용하면 암호화 사용자가 먼저 스마트 계약 내부에 디지털 자산을 잠가 네트워크를 통해 디지털 자산을 포팅할 수 있습니다. 

그런 다음 브리지는 원래 예금으로 가치를 뒷받침하는 파생 토큰인 "포장된 자산"을 다른 쪽에서 발행합니다. Nomad는 Ethereum, Avalanche, Evmos 및 Moonbeam을 지원합니다.

320월의 Wormhole 해킹은 공격자가 버그가 있는 스마트 계약 코드를 악용하여 필요한 담보물을 게시하지 않고 Wrapped Ether에서 XNUMX억 XNUMX천만 달러를 자체적으로 발행하는 것을 보았습니다. 

625월에 공개된 Axie Infinite Ronin 브리지 공격은 다중서명 지갑과 관련된 개인 키를 획득하기 위한 몇 달 간의 피싱 캠페인과 관련되어 있으며, 그 결과 약 XNUMX억 XNUMX만 달러의 암호화폐가 도난당했습니다(두 사건 모두 공격 당시 가치로 평가됨).

그러나 디지털 자산 투자 회사 Paradigm의 ​​보안 책임자인 Sam Sun은 Twitter 스레드에서 Nomad의 도둑들이 사용자 담보를 이용하여 이더리움 프로그래밍 언어인 Solidity에 대해 알 필요가 없다고 설명했습니다.

Rari Capital 해커가 Nomad를 습격하기 위해 돌아왔습니다.

Nomad의 개발자는 프로토콜이 "0x00"의 기본 루트 해시를 사용하여 모든 트랜잭션을 처리하도록 지시하는 루틴 업그레이드를 실수로 푸시했습니다. 여기서 일반적으로 블록체인 네트워크는 트랜잭션이 유효하다는 증거로 고유하고 특정 루트가 필요합니다.

이것은 Nomad가 프로토콜에 제출된 모든 거래를 효과적으로 승인할 것임을 의미했습니다. 공격자가 대규모 불법 전송을 인식하고 시작한 후 다른 사용자는 단순히 트랜잭션 스크립트를 복사하여 붙여넣고 수신자 주소를 자신의 주소로 대체했다고 상호 운용성 네트워크 Analog의 수석 설계자 Victor Young은 설명했습니다.

Young에게 Nomad를 지원하는 것과 같은 스마트 계약 플랫폼의 주요 이점은 이것이 Turing-complete 시스템이라는 것입니다. 영은 “수학적 관점에서 현대 디지털 컴퓨터가 할 수 있는 거의 모든 것을 계산할 수 있다”고 말했다.

Young은 Blockworks에 "불행히도 이것은 스마트 계약을 해킹에 노출시키는 무수하고 알려지지 않은 공격 벡터를 도입합니다."라고 말했습니다. "강력한 테스트 메커니즘을 구현하지 못하는 느슨한 개발자와 이것을 결합하면 현재 우리가 목격하고 있는 터무니없는 붕괴가 발생합니다."