北京時間の8月2日、成都連安チェーンBing-ブロックチェーンセキュリティ状況認識プラットフォームの世論監視により、クロスチェーン通信プロトコルNomadが攻撃され、ハッカーが約1億5,000万米ドルの利益を得たことが判明した。 DeFi Llamaのデータによると、本稿執筆時点でNomadトークンブリッジには約5,900ドルしか残っていない。

副題

PART 01

仮想通貨市場初の分散型強盗？

まずはこの物語の主人公、ノマドについて知っていきましょう。

Nomad は、コストを削減し、クロスチェーン メッセージングのセキュリティを向上させるように設計された安全な相互運用性ソリューションを提供すると主張しています。バリデータベースのクロスチェーン ブリッジとは異なり、Nomad はクロスチェーン通信を検証するために多数の外部関係者に依存しません。楽観的なメカニズムを利用することで、ユーザーはメッセージを安全に送信して資産をブリッジすることができ、監視している人が不正行為にフラグを立ててシステムを保護できることを保証します。

4月13日には、Polychain主導による評価額2億2,500万米ドルで最大2,200万米ドルの資金調達のシードラウンドも完了した。スタートアッププロジェクトの場合、数千万ドルのシードファイナンスがスタートラインで勝ち取れると言えるが、今回の攻撃の後、プロジェクト当事者がどのように対処して「自力で救われる」かは分からない。

Nomadの公式Twitterアカウントは、この事件を認識しており、現在調査中であると述べた。

この事件に関しては、Web3分野で物議を醸している。

Terra研究者のFatMan氏はTwitterでNomad攻撃についてコメントし、「誰でもNomadブリッジから3000ドルから20000ドルを手に入れることができるというメッセージが公開Discordサーバーにポップアップした。やるべきことは最初のハッカーの攻撃をコピーすることだけだ」と述べた。 」

そして実際その通りです。

Odailyの報道によると、最初のハッカーによる窃盗が完了した後、この「成功」体験は暗号化コミュニティでも広まり、炎上に乗じてより多くのユーザーが模倣したという。クロスチェーン通信プロトコル「Nomad」の資産が略奪された。

副題

PART 02

-契約を展開する際にプロジェクト関係者が犯した間違いは攻撃につながったのでしょうか?

この攻撃は主に、プロジェクト パーティがコントラクトのデプロイ時にconfirmAt 0 (0x000000....) を 1 に設定するため、未使用の _message が判定を通過してコントラクトから対応するアセットを抽出できるようになります。テクニカル分析は以下の通りです。

攻撃された契約

0x5D94309E5a0090b165FA4181519701637B6DAEBA (エクスプロイトとの契約)

0x88A69B4E698A4B090DF6CF5Bd7B2D47325Ad30A3 (Vault 契約の損失)

攻撃トランザクションが多すぎるため、以下では説明する例として攻撃トランザクションの 1 つの分析を使用します。

1. トランザクション分析により、攻撃者が (0x5D9430) コントラクト内の process 関数を呼び出して、(0x88A69) コントラクト内の資金を抽出したことが判明しました。

2. process関数をたどっていくと、コントラクトが_messageHashを判定していることがわかり、入力されたmessages[_messageHash]が0x000000....の場合、戻り値はtrueになります。

3. 次に、acceptableRoot 関数を追跡すると、_root の値がゼロ (0x000000....) で、confirmAt[_root] が 1 に等しい場合、常に判定が確立され、攻撃者が資金を引き出すことができることがわかります。契約書で。

副題

PART 03

- プロジェクト当事者は盗まれた資金を取り戻すことができるでしょうか?

クロスチェーン・トークン・ブリッジ攻撃による損失を受けて、Nomadチームは「調査は進行中であり、ブロックチェーン・インテリジェンスとフォレンジックの大手企業に支援を求めて連絡している。我々は法執行機関に通知しており、今後対処するつもりだ」と述べた。 「状況を24時間体制で把握しています。タイムリーで最新の情報を提供します。私たちの目標は、関連する口座を特定し、資金を追跡して回収することです。」

現在、成都聯南市のセキュリティチームは聯碧珠プラットフォームを利用して、盗まれた資金アドレスを監視、追跡、分析している。

PART 04

-まとめ: 契約展開で注意すべき点は何ですか?

このインシデントを受けて、成都聯安のセキュリティ チームは、契約を展開する前に、プロジェクト当事者が構成が合理的かどうかを検討する必要があると提案しました。導入後は、関連する機能をテストして悪用されるリスクがあるかどうかを確認し、監査会社に連絡して初期パラメータが妥当かどうかを確認する必要があります。