Чем могут помочь описание взлома Nomad Bridge и протокол MAP?
В понедельник, 1 августа, был атакован перекрещивающийся мост Nomad Bridge, в результате чего, по оценкам CertiK Alert, был нанесен ущерб в размере около 200 миллионов долларов. Команда Nomad признала эксплойт, как показано в твите ниже:
Nomad (⤭)
We are aware of the incident involving the Nomad token bridge. We are currently investigating and will provide updates when we have them.
Перевести твит
4:25 AM · 2 авг. 2022 г.·Twitter for iPhone
Что случилось?
Обычно межсетевой мост работает, “декоммунизируя” токены в смарт-контракт, а затем предоставляя пользователям собственные активы, которые они могут использовать в другой цепочке. Если бы смарт-контракт был использован, свернутые токены потеряли бы свою поддержку и стали бы бесполезными. К сожалению, именно здесь коварные актеры обнаружили уязвимость в Nomad Bridge.
Команда Nomad недавно выпустила обновление одного из своих смарт-контрактов, которое открывает пользователям возможность совершать мошеннические транзакции и выводить средства с Nomad Bridge, который им не принадлежит.
В отличие от предыдущих атак по межсетевому мосту (Ронин — 624 миллиона долларов, Червоточина — 326 миллионов долларов, Гарм Декоммунизация — 100 миллионов долларов и QBridge — 80 миллионов долларов), в которых за грабежом мог стоять один виновник, атака Nomad выглядит более хаотичной. Как объяснил @samczsun, исследователь криптоинвестиционной фирмы Paradigm, лазейка, обнаруженная в смарт-контракте Nomad, позволила хакеру “найти транзакцию, которая сработала, найти / изменить адрес другого человека на ваш, а затем повторно опубликовать его”.
Более глубокий взгляд на конструкцию поперечного моста Nomad
Команда Nomad могла бы избежать этой атаки; однако в феврале 2022 года они заявили, что отказались от легких клиентов в дизайне Nomad из-за технических трудностей с внедрением легких клиентов. Другими словами, они решили отказаться от безопасности в обмен на более низкие эксплуатационные расходы и простоту. Этот выбор в настоящее время привел к потере 190 миллионов долларов, а также к потере доверия и уверенности.
Источник: Из сообщения Nomad Medium от 8 февраля 2022 г.
Эту атаку, вероятно, можно было бы предотвратить, если бы Nomad Bridge внедрил технологию облегченного клиента, единственную децентрализованную технологию кросс-цепочки с максимальной безопасностью. Это должно послужить еще одним тревожным сигналом для тех, кто предпочитает простоту безопасности.
Разработка и развертывание легких клиентов - это не “легкая” задача. Как ведущий в отрасли конструктор инфраструктуры omnichain, MAP с самого первого дня уделяла приоритетное внимание легким заказчикам, и в течение почти четырех лет мы инвестировали в наши полномасштабные разработки вместе с более чем 20 опытными инженерами. Мы рады, что протокол MAP, сердцем и душой которого является безопасность перекрестных цепей, появится в конце августа.
Как узнал Nomad в результате взлома своего смарт-контракта, любой поставщик услуг должен провести тщательный аудит своих услуг перед их выпуском. Вот почему протокол MAP прошел обширное тестирование кода, использует временные блокировки хэша и связывается со сторонними профессиональными аудиторами, такими как Certik, для дополнительной уверенности.
Как кочевник может восстановить свою безопасность и доверие?
Чтобы восстановить эту безопасность и доверие, мы надеемся, что команда Nomad пересмотрит свое предыдущее решение и вернется к облегченной клиентской технологии, на которой основан протокол MAP. Фактически, мы с радостью поддерживаем Nomad во всех технических аспектах легкого клиентского приложения.
Интеллектуальное управление контрактами станет еще одной важной проблемой, которую Nomad придется решить, пытаясь восстановить безопасность и доверие пользователей. Этого можно достичь с помощью более строгих методов обеспечения безопасности — выполнения тестовых примеров с тройным кодом, добавления временных блокировок хэша перед публикацией и работы с профессиональными аудиторами.
О протоколе MAP
Протокол MAP - это дека omnichain для Web3 с полностью безопасной межсетевой связью, построенной на технологии Light-client и zk-SNARK. MAP связывает обе EVM с цеп декоммунизирующими цепями, предоставляя общедоступным цепям и DAPP межсетевую инфраструктуру. Разработчики имеют доступ к полному пакету SDK, чтобы их приложения DAPP могли легко стать многосетевыми приложениями.
ССЫЛКИ:
Веб-сайт: https://www.maplabs.io/
Твиттер: https://twitter.com/mapprotocol
Медиум: https://medium.com/marcopolo-protocol
Форум: https://forum.maplabs.io/
Телеграм Российского канала: https://t.me/MAPProtocolRussia
Блог в телеграме: https://t.me/mapprotocol_russia