Gli hacker hanno prosciugato quasi 200 milioni di dollari in criptovalute da Nomad, uno strumento che consente agli utenti di scambiare token da una blockchain all’altra, in un altro attacco che evidenzia le debolezze dello spazio finanziario decentralizzato.
Nomad ha riconosciuto l’exploit in un tweet di lunedì scorso.
“Siamo consapevoli dell’incidente che ha coinvolto il token bridge di Nomad“, ha dichiarato la startup. “Stiamo attualmente indagando e forniremo aggiornamenti non appena ne avremo“.
Non è del tutto chiaro come sia stato orchestrato l’attacco, né se Nomad intenda rimborsare gli utenti che hanno perso token nell’attacco. L’azienda, che si presenta come un servizio di “messaggistica sicura cross-chain“, non è stata immediatamente disponibile per un commento quando è stata contattata dalla CNBC.
Gli esperti di sicurezza della blockchain hanno descritto l’exploit come un “free-for-all“. Chiunque fosse a conoscenza dell’exploit e del suo funzionamento poteva approfittare della falla e prelevare una quantità di token da Nomad – una sorta di bancomat che sputava denaro premendo un pulsante.
Tutto è iniziato con un aggiornamento del codice di Nomad. Una parte del codice è stata contrassegnata come valida ogni volta che gli utenti decidevano di avviare un trasferimento, il che ha permesso ai ladri di prelevare più beni di quelli depositati sulla piattaforma. Una volta che gli altri aggressori si sono accorti di ciò che stava accadendo, hanno schierato eserciti di bot per eseguire attacchi imitativi.
“Senza alcuna esperienza di programmazione, qualsiasi utente poteva semplicemente copiare i dati delle chiamate alle transazioni degli attaccanti originali e sostituire l’indirizzo con il proprio per sfruttare il protocollo“, ha dichiarato Victor Young, fondatore e architetto capo della startup Analog. “A differenza degli attacchi precedenti, l’hack di Nomad è diventato un free-for-all in cui più utenti hanno iniziato a prosciugare la rete semplicemente riproducendo i dati delle chiamate alle transazioni degli attaccanti originali“.
Sam Sun, partner di ricerca presso la società di investimenti Paradigm, specializzata in criptovalute, ha descritto l’exploit come “uno degli attacchi più caotici che Web3 abbia mai visto“
Web3 è un’ipotetica futura iterazione di Internet costruita attorno alla tecnologia blockchain.
Nomad è un cosiddetto “ponte”, uno strumento che consente agli utenti di scambiare token e informazioni tra diverse reti di criptovalute. Sono utilizzati come alternativa alle transazioni effettuate direttamente su una blockchain come Ethereum, che può addebitare agli utenti commissioni di elaborazione elevate quando si verificano molte attività contemporaneamente.
I casi di vulnerabilità e di cattiva progettazione hanno reso i bridge un obiettivo primario per gli hacker che cercano di truffare gli investitori con milioni di dollari. Secondo un rapporto della società di compliance Elliptic, nel 2022 sono stati rubati più di 1 miliardo di dollari in asset di criptovalute attraverso exploit di bridge.
Ad aprile, un bridge blockchain chiamato Ronin è stato sfruttato in un furto di criptovalute da 600 milioni di dollari, che i funzionari statunitensi hanno poi attribuito allo Stato nordcoreano. Alcuni mesi dopo, Harmony, un altro bridge, è stato privato di 100 milioni di dollari in un attacco simile.
Truffa cripto Axie Infinity, Ronin compenserà i fondi persi dai partecipanti
Dietro il furto della criptovaluta Harmony c’è Lazarus
Come Ronin e Harmony, anche Nomad è stato preso di mira grazie a una falla nel suo codice, ma con alcune differenze. In questi attacchi, gli hacker sono riusciti a recuperare le chiavi private necessarie per ottenere il controllo della rete e iniziare a trasferire i token. Nel caso di Nomad è stato molto più semplice. Un aggiornamento di routine del bridge ha permesso agli utenti di falsificare le transazioni e di portare via milioni di criptovalute.
