クロスチェーン メッセージング プロトコル Nomad は、ハッカーが「混沌とした」セキュリティ エクスプロイトを悪用して約 2 億ドルのデジタル資産を盗んだ後、仮想通貨の最新の 9 桁攻撃の標的になりました。
Avalanche (AVAX)、Ethereum (ETH)、Evmos (EVMOS)、Moonbeam (GLMR)、Milkomeda C1 ブロックチェーン間でユーザーがトークンを送受信できるようにするトークン ブリッジである Nomad が月曜日に攻撃され、ハッカーがほぼすべてのトークンを流出させました。プロトコルの資金。
分散型金融追跡プラットフォームによると、約 1 億 9,070 万ドルの仮想通貨がブリッジから盗まれました。 デフィ・ラマこれは、ロックされている現在の合計値 (DeFi プロトコルで入金されたユーザー資金の額) が、執筆時点で 12,000 ドル未満であることを示しています。
Nomad は、ハッカーがどのようにして資金を盗んだかをまだ確認していません。 しかし、によると サムソン、web3 投資会社 Paradigm のセキュリティ責任者は、Nomad のスマート コントラクトの 1 つに対する最近の更新により、ユーザーがトランザクションを簡単に偽装できるようにしました。 これは、ユーザーがあるブロックチェーンから別のブロックチェーンに資金を転送したとき、Nomad は金額を確認しなかったとされており、ユーザーが自分のものでない資金を引き出すことを可能にしていました。 たとえば、ユーザーは 1 ETH を送信し、別のブロックチェーンでスマート コントラクトを手動で呼び出して 100 ETH を受け取ることができます。 ブロックチェーン監査会社ゼリック にも来た 同じ結論。
「小切手帳を使って銀行から資金を引き出すようなもので、銀行は私たちが実際に十分なお金を持っているかどうかを確認しません」と、web3 バグ報奨金プログラム Immunefi のトリアージ チームの技術責任者である Adrian Hetman 氏は TechCrunch に語った。 「彼らは小切手自体が有効に見えることだけを気にしています。」
Samczun 氏は、攻撃全体の背後に 1 人の犯人がいるほとんどのブリッジ攻撃とは異なり、「混沌とした」Nomad 攻撃は誰にでも無料で行われ、噂が広まると日和見主義者がブリッジから資金を盗むために群がり、研究者が説明したような結果になったと説明しています。 「熱狂的な自由参加」として。 ブロックチェーンセキュリティ会社 ペックシールド 41 以上のアドレスが 1 億 5,200 万ドル、つまり盗まれた資金の 80% を流出させたと述べています。
「それを悪用するために必要だったのは、元のハッカーのトランザクションをコピーし、元のアドレスをカスタム アドレスに変更することだけでした。 シンプルなコピー&ペーストです」と Hetman 氏は付け加えました。
このインシデントは、ブリッジから排出されたラップ イーサ (WETH)、USD コイン (USDC)、WBTC およびその他のトークンに影響を与えました。
TechCrunch は Nomad に問い合わせましたが、まだ応答がありません。 ただし、会社は ツイッターにあげた 資金を集めようとするなりすましについて警告します。 「ノマドになりすまし、不正なアドレスを提供して資金を集めるなりすましを認識している」と同社は述べた。 「ブリッジファンドの返還指示はまだ出していません。 Nomad の公式チャンネル以外のすべてのチャンネルからの通信は無視してください。」
別のツイートで、ノマドは法執行機関に通知し、「関与するアカウントを特定し、資金を追跡して回収する」ことを目的として、ブロックチェーンのインテリジェンスとフォレンジックのために大手企業に依頼したことを確認しました。
Nomad の数日後に攻撃が発生 明らかに Coinbase Ventures を含む多くの著名な仮想通貨投資家が、 公海、Polygon、Crypto.com Capital は、2200 万ドルの 4 月のシード ラウンドに参加し、2 億 2500 万ドルの評価を得ました。
「Nomad の目標は、ブロックチェーン間での通信をより安全にすることです」と Nomad は先週述べました。 「安全なクロスチェーン メッセージングは、DeFi エコシステムを統合し、ブロック スペースがどこにあろうと、その真の力と可能性を解き放つための鍵であると信じています。」
Nomad 攻撃は、クロスチェーン ブリッジのセキュリティに疑問を投げかけた、広く報道された一連の事件の最新のものです。 Axie Infinity の Ronin Bridge は今年 4 月にハッキングで 6 億ドル以上を失い、Harmony の Horizon bridge は 6 月に 1 億ドルを使い果たしました。