פרוטוקול מעבר בין רשתות (Cross-chain) בשם Nomad Bridge, נוצל אתמול (ב') על ידי תוקפים שמשכו ממנו את כל הטוקנים הדיגיטליים בסכום של כמעט 200 מיליון דולר.
Nomad, כמו גשרי מעבר בין רשתות אחרים, מאפשר למשתמשים להעביר טוקנים בין רשתות בלוקצ'יין שונות. המתקפה שנעשתה אתמול, היא האחרונה בשורה של תקריות מתוקשרות מאוד שהעמידו בספק את אבטחת גשרים הללו.
צוות Nomad הכיר בניצול ומסר ל-CoinDesk: "הודענו לרשויות אכיפת החוק ופועלים מסביב לשעון כדי לטפל במצב ולספק עדכונים. המטרה שלנו היא לזהות את החשבונות המעורבים, לאתר ולהחזיר את הכספים". בנוסף, ציין הצוות כי חלק מהכתובות שמשכו כספים מהפרוטוקול, שייכות ל"כובעים לבנים" – ביטוי מוכר של האקרים ידידותיים המחפשים פירצות פוטנציאליות בקוד על מנת לאבטח ולתקן אותן בעתיד.
גשרים פועלים בדרך כלל על ידי נעילת טוקנים בחוזה חכם על רשת בלוקצ'יין אחת והנפקה מחדש של אותם טוקנים בצורה "עטופה" על שרשרת אחרת. אם החוזה החכם שבו מופקדים אסימונים ינוצל או יפגע – כפי שקרה במקרה של Nomad – הטוקנים העטופים ישארו ללא גיבוי, מה שיכול להפוך אותם לחסרי ערך.
חוקר בחברת השקעות הקריפטו Paradigm, המזדהה בטוויטר בשם samczsun, הסביר שהעדכון האחרון של אחד החוזים החכמים של Nomad הקל על משתמשים לזייף עסקאות. משמעות הדבר היא שמשתמשים יכלו למשוך כסף מהפרוטוקול, כסף שלא היה שייך להם בפועל.
בניגוד לכמה התקפות גשר, שבהן בדרך שלל ישנו גורם זדוני בודד העומד מאחורי ההתקפה, ב-Nomad הניצול התאפשר עבור כולם.
"… לא היית צריך לדעת סולידיטי או עצי מרקל או משהו כזה. כל מה שהיה צריך לעשות זה למצוא עסקה שעבדה, למצוא/להחליף את הכתובת של האדם האחר בכתובת שלך, ואז לשדר אותה מחדש", כך אמר samczsun.
אלטרנטיבות בטוחות?
התקפות גשרי מעבר בין רשתות בלוקצ'יין הפכו לתכופות יותר בחודשים האחרונים, כאשר משתמשים רבים בתחום הפגינו תיאבון מוגבר להחלפת נכסים בין פרוטוקולים שונים.
בעוד שגשרי מעבר בין רשתות אפשרו לשגשוג והתרבות של הכמות והפופולריות של מיזמי בלוקצ'יין שונים, כשלים בהם הוכיחו כי אותם גשרים יכולים להיות הרסניים עבור רשתות קטנות יותר הנשענות עליהם עבור חלק גדול מההון הנזיל שלהן.
לדוגמא, רשת Evmos, אחת מרשתות הבלוקצ'יין הנשענות על השירות של Nomad, צייצה כי זה יהיה "סיעור מוחות של פתרונות קהילתיים" בנוגע למתקפה שחווה Nomad בהתחשב בכך שהפרוטוקול "משפיע באופן משמעותי על הערך הכולל נעול ב-Evmos".
המתקפה הגדולה ביותר בהיסטוריה של גשר מעבר בין רשתות בתחום הכלכלה המבוזרת (DeFi) התרחשה ברונין (Ronin) באפריל וגרמה לאובדן נכסים בשווי של למעלה מ-600 מיליון דולר. רונין, הןא הגשר שמניע את המשחק מבוסס הבלוקצ'יין Axie Infinity.
רק מספר חודשים לפני כן, יותר מ-300 מיליון דולר נוקזו מגשר וורמהול (Wormhole), מה שעשה שמות בקהילת הבלוקצ'יין של סולאנה ובקהילת ה-DeFi הרחבה יותר.
Nomad מכר את עצמו למשקיעים מתוך החזון שהוא יהיה פרוטוקול בטוח יותר ביסודו מפלטפורמות אחרות. בשבוע שעבר, הוא חשף כי פירמות הקריפטו Coinbase Ventures ו-OpenSea היו בין אלה שהשתתפו בסבב Seed בחודש אפריל שהעריך את החברה בשווי של 225 מיליון דולר.
התקרית גרמה לטוקנים מסוגים רבים להילקח מהפרוטוקול בניהם מספר טוקנים בשימוש נרחב כגון: WETH ,USDC ,DAI ו-WBTC.
מנצלי החולשה לקחו טוקנים בצורה יוצאת דופן כך שכל טוקן נלקח בערכים כמעט שווים. לדוגמה, עסקאות עם 202,440.72 USDC בדיוק בוצעו יותר מ-200 פעמים. בנוסף, לאירוע הספציפי הזה יש עד כה מאות כתובות שקיבלו טוקנים ישירות מהפרוטוקול.
