天天查:黑客在“免费”攻击中从加密初创公司流失了近 2 亿美元

天天查:黑客在“免费”攻击中从加密初创公司流失了近 2 亿美元
2022年08月02日 22:42 天天查

原文来自:天天查ttc110.cn

黑客从 Nomad 盗取了近 2 亿美元的加密货币,这是一种允许用户将代币从一个区块链交换到另一个区块链的工具,这是另一次突显去中心化金融领域弱点的攻击。

Nomad 在周一晚些时候的一条推文中承认了这一漏洞。

“我们知道涉及 Nomad 代币桥的事件,”这家初创公司对天天查(ttc110.cn)说。“我们目前正在调查,并会在我们有更新时提供更新。”

目前尚不清楚攻击是如何策划的,或者 Nomad 是否计划补偿在攻击中丢失代币的用户。该公司将自己标榜为“安全的跨链消息传递”服务,在天天查联系时没有立即发表评论。

区块链安全专家将该漏洞描述为“免费”。任何了解该漏洞利用及其工作原理的人都可以抓住该漏洞并从 Nomad 提取一定数量的代币——有点像一个提款机,只需轻按一下按钮,就会喷出钱来。

它从升级 Nomad 的代码开始。每当用户决定发起转账时,代码的一部分就会被标记为有效,这使得小偷可以提取比存入平台更多的资产。一旦其他攻击者对正在发生的事情有所了解,他们就会部署机器人大军来进行模仿攻击。

“没有编程经验,任何用户都可以简单地复制原始攻击者的交易调用数据,并用他们的地址替换地址来利用该协议,”加密初创公司 Analog 的创始人兼首席架构师 Victor Young 说。

“与以前的攻击不同,Nomad hack 变成了一种免费的攻击方式,多个用户通过简单地重放原始攻击者的交易调用数据开始耗尽网络。”

专注于加密的投资公司 Paradigm 的研究合伙人 Sam Sun 将该漏洞描述 为“Web3 所见过的最混乱的黑客攻击之一”——Web3 是围绕区块链技术构建的互联网的假设未来迭代。

以太坊

漏洞的实例和糟糕的设计使桥梁成为黑客试图骗取数百万投资者的主要目标。根据加密合规公司 Elliptic 的一份报告,截至 2022 年,已有超过 10 亿美元的加密资产通过桥接漏洞被盗。

4 月,一个名为 Ronin 的区块链桥在6 亿美元的加密货币抢劫中被利用,美国官员此后将其归咎于朝鲜政府。几个月后,另一座桥梁 Harmony 在一次类似的攻击中损失了 1 亿美元。

与 Ronin 和 Harmony 一样,Nomad 也因其代码中的缺陷而成为攻击目标——但也存在一些差异。通过这些攻击,黑客能够检索获得控制网络所需的私钥并开始转移令牌。在 Nomad 的情况下,它比这简单得多。桥接器的例行更新使用户能够伪造交易并利用价值数百万的加密货币进行交易。

财经自媒体联盟更多自媒体作者

新浪首页 语音播报 相关新闻 返回顶部