Puente de cadena cruzada nómada violado y «ensuciado» con mucho más de $ 176 millones en daños – Cryptoshitcompra

Nomad, un proyecto de puente de cadena cruzada, se convirtió en el nombre del ataque en la mañana del 2 de agosto, causando un daño muy grave porque muchas personas hoy se beneficiaron de la vulnerabilidad.

cryptoshitcompra.com/wp-content/uploads/2022/08/Puente-de-cadena-cruzada-nomada-violado-y-ensuciado-con-mucho.jpg» alt=»» width=»1888″ height=»970″/>

Nomad fue drenado sin piedad por los consumidores

Cerca de las 04:30 del 2 de agosto, la comunidad criptográfica en Twitter comenzó a notar transacciones extrañas relacionadas con Nomad, un proyecto puente entre Ethereum y Moonbeam, una parachain que se especializa en contratos inteligentes de Polkadot.

Específicamente, el desarrollador de MetaMask @sniko_ compartió una serie de transacciones que pagaron hasta USD 350 000 pero que, sin embargo, fallaron. Más tarde, esta persona en particular descubrió que se trataba de un ataque a Nomad, que retiró masivamente WBTC, WETH, USDC y muchos otros tokens ERC-twenty en numerosas transacciones más pequeñas.

El remitente de este tx luego se retira (método de llamada ()) en Nomad Bridge

¿Es relevante? ¿Están intentando explotar a Nomad? Hay una cadena de contratos sobre este fallido $ 350k tx. Posiblemente podría actualizar más tarde si descubro algo dignohttps://t.co/g6n8pu6eit

CC: @nomadxyz_

– harry.eth 🦊💙 (whg.eth) (@sniko_) 1 de agosto de 2022

¿No es bueno ser explotado por 🍉🍉🍉.eth? pic.twitter.com/Wrotdi2XNp

– foobar (@0xfoobar) 1 de agosto de 2022

Según las estadísticas del consumidor @ 1kbeetlejuice, en las próximas dos horas, el contrato razonable de Nomad se agotó de $ 176,6 millones a casi cero.

El usuario FatManTerra afirma que este ataque se llevó a cabo trabajando con varias cuentas o incluso un problema de «falla», en el que una persona copió la primera transacción del pirata informático y solo transformó casi todas las transacciones para retirar dólares para extraer dólares de Nomad.

Mensajes que aparecieron en los servidores públicos de Discord de personas al azar que tomaron $ 3,000- $ 20,000 del puente Nomad: todo lo que tenía que hacer era copiar la primera transacción del pirata informático y modificar el trato, luego presionar enviar a través de Etherscan. En forma criptográfica correcta: el 1er robo descentralizado. https://t.co/jWV9AamBer

– FatMan (@FatManTerra) 2 agosto 2022

SlowMist rastrea el movimiento de fondos a las 3 direcciones de billetera que se dice que tomaron la mayor cantidad de dólares de Nomad, con un valor total de hasta $ 90 millones.

Aquí están las direcciones y lo que hay en casi cada 1.

Dirección uno: 0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3 ~ $ 47 millones

Dirección dos: 0xBF293D5138a2a1BA407B43672643434C43827179 ~ 39,7 M

Dirección tres: 0xB5C55f76f90Cc528B2609109Ca14d8d84593590E ~ $ 8 millones

– SlowMist (@SlowMist_Workforce) 2 agosto 2022

Samczsun, experto en seguridad, descubrió más tarde que la vulnerabilidad de Nomad procedía del permiso del proyecto para otorgar permiso de recolección al mensaje raíz predeterminado de 0x000… Alguien lo localizó y procedió con los retiros. Más tarde, otros encontraron la vulnerabilidad y solo copiaron la primera transacción del hacker.

once / Esta es la razón por la que el truco fue tan caótico: no había necesidad de saber nada sobre Solidity o Merkle Trees ni nada por el estilo. Todo lo que tenía que hacer era encontrar una transacción que funcionó, encontrar/intercambiar el trato de la otra persona con el suyo y luego transmitirlo.

– samczsun (@samczsun) 2 agosto 2022

“Esta es específicamente la razón por la cual el truco fue tan caótico: no es necesario que conozca Solidity o Merkle Tree. Todo lo que tiene que hacer es encontrar una transacción pirateada eficientemente, encontrar/intercambiar el trato de otra persona con el suyo y luego interactuar con el contrato inteligente de Nomad.

Vale la pena mencionar que esta vulnerabilidad fue encontrada y advertida por la unidad de auditoría de contratos sensibles de Quantstamp en Nomad a principios de junio, pero fue ignorada y tuvo las últimas consecuencias.

El exploit fue público en la auditoría. @samczsun https://t.co/9UoZID1lHm pic.twitter.com/HBiVJu7gdT

– napgener 0x (@napgener) 2 agosto 2022

Nomad ha anunciado que se acercará a su puente de las cadenas para investigar la demanda, mientras que Moonbeam también ha colocado la red en un «estado de mantenimiento», pero incluso ahora permitirá a los consumidores realizar transacciones, interactuar con contratos sensibles, participación y administración ordinaria.

Somos conscientes del incidente relacionado con Nomad Token Bridge. Actualmente estamos revisando y presentaremos actualizaciones cuando las tengamos.

– Nómada (⤭⛓🏛) (@nomadxyz_) 1 de agosto de 2022

2 / Durante este período de tiempo, el rendimiento se verá limitado y no estará listo para completar las transacciones típicas de los consumidores y las interacciones contractuales sensibles. La democracia, el replanteo, los medios para reactivar y actualizar seguirán estando en terreno. En breve ofreceremos una actualización mucho más detallada.

– Red Moonbeam #HarvestMoonbeam (@MoonbeamNetwork) 1 de agosto de 2022

Los signos de interrogación continúan apareciendo para las tareas de puente de cadena cruzada

El ataque de los nómadas tomó lugar aproximadamente un año después. Red Poliotro proyecto de puente de cadena cruzada, fue pirateado por $ 611 millones el 10 de agosto de 2021. El pirata informático luego decidió devolver los dólares después de que se encontró el pirateo y se dio cuenta de que no era posible dispersarlo. este tipo de una cantidad masiva de dólares.

Para febrero de 2022, es hora de hacer el puente agujero de gusano sobre Solana y Ethereum fue pirateado, perdiendo $ 325 millones en criptomonedas. Luego, Wormhole recaudó un fondo de emergencia de una cantidad relacionada con la compensación de los usuarios seguros y la reanudación de las operaciones.

Más de un mes después, el 29 de marzo de 2022, el barrio de las criptomonedas fue sacudido por el puente de datos ronin Del juego Axie Infinito fue robado por piratas informáticos dentro de una semana sin saberlo, lo que resultó en una pérdida de $ 622 millones. Este es el ataque más dañino en la historia del sector de las criptomonedas hasta la fecha.

Ronin reanudó las operaciones regulares a fines de junio, mientras que el desarrollador de Axie Infinity Sky, Mavis, tuvo que recaudar $ 150 millones y pagar de su propio bolsillo para compensar a los consumidores. A pesar de esto, las controversias continuaron aferrándose a la empresa ya que se violaron datos sobre la empresa debido a un La programadora de Sky, Mavis, aceptó una dudosa «oferta de trabajo»o los rumores de que el CEO de Sky, Mavis Nguyen Thanh Trung, transfirió AXS $3 millones a Binance antes de anunciar el hackeo.

También en este período de tiempo el puente Horizonte de la empresa blockchain Armonía fue pirateado, perdiendo cerca de $ 100 millones en criptomonedas aquí. Luego, Harmony lanzó una propuesta de bifurcación desafiante de protocolo para imprimir varios tokens únicos para compensar a los consumidores en lugar de liberar el dinero del proyecto, lo que provocó una reacción violenta del vecindario.

Poco antes del hackeo de Wormhole, el fundador de Ethereum, Vitalik Buterin, declaró que realmente no se debe confiar en los remedios de cadena cruzada debido a muchas fallas en el mecanismo de funcionamiento.

Moneda sintética 68

Quizás te interese: