- घुमंतू घटना वर्महोल और रोनिन के बाद वर्ष की तीसरी सबसे बड़ी क्रिप्टोक्यूरेंसी हैक है
- लगभग 41 पतों ने प्रोटोकॉल से क्रिप्टोकुरेंसी को छीन लिया
क्रिप्टोकुरेंसी में $ 190 मिलियन से अधिक के लिए हमलावरों ने प्रोटोकॉल पर छापा मारने के बाद टोकन ब्रिज नोमैड को "उन्माद मुक्त-सभी" का सामना करना पड़ा है।
घुमंतू, जिसने संगत ब्लॉकचेन के बीच ईआरसी -20 टोकन भेजने के लिए खुद को "सुरक्षा-प्रथम" मंच के रूप में विपणन किया, ने मंगलवार की सुबह ट्वीट में छापे की पुष्टि की।
घटना इस साल अन्य बड़े पैमाने पर हैक से लेकर अपंग टोकन पुलों से अलग है। टोकन ब्रिज क्रिप्टो उपयोगकर्ताओं को पहले एक स्मार्ट अनुबंध के अंदर लॉक करके नेटवर्क पर डिजिटल संपत्ति को पोर्ट करने में सक्षम बनाता है।
पुल फिर एक व्युत्पन्न टोकन, एक "लिपटे संपत्ति" जारी करता है, दूसरी तरफ, उनके मूल्यों को उनके मूल जमा द्वारा समर्थित किया जाता है। घुमंतू एथेरियम, हिमस्खलन, एवमोस और मूनबीम का समर्थन करता है।
फरवरी के वर्महोल हैक ने देखा कि हमलावरों ने आवश्यक संपार्श्विक पोस्ट किए बिना रैप्ड ईथर में खुद को $ 320 मिलियन का खनन करने के लिए बग्गी स्मार्ट कॉन्ट्रैक्ट कोड का फायदा उठाया।
एक्सी इनफिनिट रोनिन ब्रिज अटैक, जिसका खुलासा मार्च में किया गया था, में इसके मल्टीसिग वॉलेट से जुड़ी निजी चाबियों को हासिल करने के लिए एक महीने का फ़िशिंग अभियान शामिल था, जिसके परिणामस्वरूप क्रिप्टोकरंसी में लगभग $ 625 मिलियन की चोरी हुई (दोनों घटनाएं हमले के समय मूल्यवान थीं)।
लेकिन डिजिटल एसेट इन्वेस्टमेंट फर्म पैराडाइम में सुरक्षा प्रमुख सैम सन ने एक ट्विटर थ्रेड में बताया कि घुमंतू चोरों को उपयोगकर्ता संपार्श्विक के साथ एथेरियम प्रोग्रामिंग भाषा सॉलिडिटी के बारे में कुछ भी जानने की आवश्यकता नहीं है।
रारी कैपिटल हैकर घुमंतू पर छापा मारने के लिए लौटा
घुमंतू के डेवलपर्स ने गलती से एक नियमित उन्नयन को धक्का दे दिया था जिसने प्रोटोकॉल को "0x00" के डिफ़ॉल्ट रूट हैश के साथ किसी भी लेनदेन को संसाधित करने के लिए कहा था, जहां आमतौर पर ब्लॉकचैन नेटवर्क को एक अद्वितीय और विशिष्ट रूट की आवश्यकता होती है जो कि लेनदेन वैध है।
इसका मतलब यह था कि घुमंतू प्रोटोकॉल में जमा किए गए किसी भी लेनदेन को प्रभावी ढंग से अनुमोदित करेगा। इंटरऑपरेबिलिटी नेटवर्क एनालॉग के मुख्य वास्तुकार विक्टर यंग ने समझाया कि एक हमलावर को बड़े अवैध हस्तांतरण का एहसास होने और शुरू होने के बाद, अन्य उपयोगकर्ता बस अपनी लेनदेन स्क्रिप्ट को कॉपी-पेस्ट करते हैं और रिसीवर के पते को अपने स्वयं के पते से बदल देते हैं।
यंग के लिए, घुमंतू को शक्ति देने वाले स्मार्ट अनुबंध प्लेटफार्मों का एक प्रमुख लाभ यह है कि वे ट्यूरिंग-पूर्ण सिस्टम हैं। वे गणना कर सकते हैं "लगभग सब कुछ एक आधुनिक डिजिटल कंप्यूटर गणितीय दृष्टिकोण से कर सकता है," यंग ने कहा।
"दुर्भाग्य से, यह अनगिनत और अज्ञात हमले वैक्टर पेश करता है जो हैक के लिए स्मार्ट अनुबंध खोलता है," यंग ने ब्लॉकवर्क्स को बताया। "जब आप इसे ढीले डेवलपर्स के साथ जोड़ते हैं जो परीक्षण तंत्र के एक मजबूत सेट को लागू करने में विफल होते हैं, तो आपको हास्यास्पद मंदी मिलती है जिसे हम वर्तमान में देख रहे हैं।"
यंग ने अन्य ब्लॉकचेन प्लेटफॉर्म को एंड-टू-एंड टेस्ट और बार-बार कोड ऑडिट निर्धारित किया ताकि कहीं और होने के जोखिम को कम करने में मदद मिल सके।
ब्लॉकचेन सुरक्षा फर्म पेकशील्ड की रिपोर्ट लगभग 41 पतों ने घुमंतू, रैप्ड बिटकॉइन और रैप्ड ईथर के मिश्रण के साथ-साथ स्थिर डीएआई और यूएसडीसी पर छापा मारा था।
गौरतलब है कि वही पता रारी कैपिटल से जुड़ा है हैक अप्रैल के अंत में क्रिप्टोक्यूरेंसी में $ 3.4 मिलियन की चोरी करने के लिए कहा गया था। घुमंतू के स्मार्ट अनुबंधों में $12,000 से भी कम बचा है, जो छापे से पहले $190 से अधिक था, प्रति डेफी लामा.
घुमंतू घटना अब वर्महोल और रोनिन के बाद साल की तीसरी सबसे बड़ी हैक है। यह स्पष्ट नहीं है कि फर्म के लिए आगे क्या है।
वर्महोल और एक्सी इनफिनिटी दोनों टीमों ने अपने उपयोगकर्ताओं और प्रोटोकॉल दोनों को उनके संबंधित हैक्स के बाद पूरा करने के लिए उद्यम पूंजी जुटाई। अपनी योजनाओं के बारे में अधिक जानने के लिए ब्लॉकवर्क्स खानाबदोश तक पहुंच गया है।
हर शाम अपने इनबॉक्स में दिन के शीर्ष क्रिप्टो समाचार और अंतर्दृष्टि प्राप्त करें। ब्लॉकवर्क्स के मुफ़्त न्यूज़लेटर की सदस्यता लें अब.
स्रोत: https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/