Jembatan Cross-Chain Nomad Menderita Eksploitasi Sebesar $190 juta Dalam Serangan Copy-Paste

【TL；DR】

Pencurian terus merusak dunia crypto，dengan laporan perusahaan mata uang digital kehilangan jumlah besar karena pencurian dan serangan yang tampaknya setiap bulan。Sementara pertukaran crypto pernah menjadi fokus utama serangan，jembatan blockchain sekarang tampaknya menjadi target baru untuk peretas。

Setelah diaudit pada 1 Agustus 2022，jembatan cross-chain Nomad mengalami ancaman dunia maya yang mengakibatkan hilangnya dana mata uang crypto sebesar $190 juta。Laporan itu mengatakan bahwa pada hari Senin，Nomad diserang，dan peretas menghasilkan jutaan dolar dari protokol tersebut。Namun，Nomad telah menjadi korban terbaru dari peretasan sembilan digit di crypto dan juga terkenal sebagai yang terbesar ketiga pada tahun 2022。

Lebih dari $190 juta Disedot dari Nomad。

---

Jembatan cross-chain adalah kerangka kerja yang memungkinkan pengguna untuk menukar aset antara beberapa blockchain，buku besar digital yang memberi kekuatan sebagian besar mata uang crypto dunia。 Layanan jembatan “membungkus” mata uang ketika menukar satu token dengan yang lain sehingga dapat beroperasi di blockchain lain。Jembatan ini “membungkus” token dengan melampirkannya dalam smart contract。Sementara itu，jika smart contract yang melindungi token inti diretas，token yang dibungkus kehilangan dukungan mereka，yang berarti mereka tidak akan memiliki nilai atau harga。

Terutama，protokol DeFi seperti jembatan cross-chain yang menyimpan likuiditas dalam jumlah besar，sehingga menjadikannya target utama bagi peretas。Persis halnya dengan Nomad，jembatan token untuk transaksi cross-chain antara Ethereum，Avalanche，Milkomeda，dan Moonbeam。

Baru minggu lalu，perusahaan tersebut mengumumkan dapat mengumpulkan $22.4 juta USD dalam modal awal dengan penilaian $225 juta USD awal tahun ini setelah berpartisipasi dalam dana benih dengan merek top lainnya di Web3.0：Coinbase Ventures，OpenSea，Polygon，Crypto.com， Wintermute，dan Gnosis。Sayangnya，tidak lama sebelum Nomad menjadi mangsa peretas cyber。

Perusahaan mata uang crypto yang populer，Nomad，menderita peretasan jembatan，menurut laporan berita dan tweet di situs Nomad itu sendiri。Transaksi terlarang pertama terjadi pada pukul 11:30 malam。CET，dengan 100 Bitcoin yang dibungkus senilai $2.3 juta tiba-tiba hilang dari Nomad。 Nomad mengkonfirmasi melalui Twitter bahwa peretas telah mengeksploitasi jembatannya dan pada 2 Agustus dini hari，jembatan Nomad membuat tweet，memperingatkan bahwa mereka mengetahui eksploitasi yang sedang berlangsung。Dua jam kemudian，hampir seluruh dana protokol lebih dari $190 juta disedot。

Sumber：Twitter

‘Samczsun’，sebuah white hat dan pengembang di komunitas crypto，memecahkan peristiwa yang terjadi selama serangan tersebut dan memberikan penjelasan terperinci melalui sebuah utas di Twitter。Ia mendeskripsikan serangan itu sebagai “salah satu serangan paling kacau yang pernah dilihat Web3”。Peretas mengambil keuntungan dari kerentanan Nomad dan merampas lebih dari $190 juta aset。

Bagaimana Nomad diretas？

---

Berita serangan itu muncul di channel Telegram ETHSecurity ketika beberapa peneliti berbagi tweet yang menunjukkan beberapa transaksi uang meninggalkan jembatan。Tampaknya menjadi kesalahan pengaturan desimal token sampai Samczsun melaporkan di Twitter：“Namun，setelah beberapa penggalian manual yang menyakitkan di jaringan Moonbeam，saya mengkonfirmasi bahwa sementara transaksi Moonbeam memang menjembatani 0.01 WBTC，entah bagaimana transaksi Ethereum menjembatani dalam 100 WBTC”。

Investigasi lebih lanjut oleh pengembang mengungkapkan kelemahan fatal dalam smart contract “replica”，yang telah dimulai selama peningkatan NOMAD normal。Ia melanjutkan bahwa ini kacau sebab penipu crypto tidak membutuhkan keahlian teknis。Yang harus mereka lakukan adalah menemukan transaksi yang berhasil，menukar alamat tujuan dengan alamat mereka sendiri，dan menyalakannya kembali。

“Peningkatan rutin menandai hash nol sebagai akar yang valid，yang memiliki efek memungkinkan pesan untuk dipalsukan di Nomad。Penyerang menyalahgunakan ini untuk meniru/menempelkan transaksi dan dengan cepat menguras jembatan dalam forzied free-for-all”，samczsun menyatakan。

Smart contract jelas berisi kesalahan bencana。Pendiri Oxfoobar，DeFi，dan NFT，juga menemukan kecacatan keamanan smart contract dan memberikan laporannya；Selama peningkatan rutin，tim secara keliru menyatakan akar nol （0x00）sebagai akar yang dapat diterima ketika mereka memanggil fungsi ‘inisialisasi （）’。Akar nol memungkinkan setiap pesan diverifikasi secara otomatis secara default。

Meski begitu，orang yang suka mengambil kesempatan mengeksploitasi kecacatannya setelah belajar mengenai potensi serangan yang lebih，menyalin rincian transaksi peretas，memperbarui alamat asli ke alamat mereka，dan dengan pintar menarik uang。Eksploitasi ini mudah diduplikatkan，yang menjelaskan mengapa itu adalah serangan paling kacau。

NOMAD MENDERITA KERUGIAN

---

Menurut DeFillama， Total Value Locked （TVL）Nomad telah secara drastis jatuh dari $190.38 juta menjadi $5,336 selama beberapa jam。Selain Bitcoin yang dibungkus dan wrapped Ether （WETH），aset curian lainnya termasuk USDC dan DAI。

Ini adalah salah satu serangan yang menjarah kerumunan paling kacau dalam sejarah DeFi。Yang aneh tentang eksploitasi ini ialah bahwa ratusan dompet menerima pembayaran dari Jembatan Nomad dengan total lebih dari satu juta USDC secara konsisten。Sumber mengatakan bahwa beberapa penggunanya ialah “whitehats”。Oleh karena itu，ketika mereka memperhatikan itu adalah serangan， mereka dengan cepat menyelamatkan dana dan mengembalikannya begitu semuanya terkendali。 Namun，pengguna yang menarik dana setelah sistem terganggu mungkin harus menyimpan aset yang dicuri。

Sementara beberapa pengeksploitasi telah mengklaim kredit dan berjanji untuk mengembalikan uang mereka，sebagian besar lagi uangnya telah hilang。

Reaksi setelah Peretasan

---

Perusahaan jembatan Nomad diposting di Twitter pada Senin malam bahwa itu merupakan “kesadaran akan peniru bertindak sebagai Nomad dan memberikan alamat tipuan untuk mengumpulkan dana”。 Kemudian，komunitas menerima tweet lain dari Nomad pada hari Selasa dengan mengatakan，“Terima kasih kepada banyak teman white hat kami yang bertindak proaktif dan melindungi dana。 Tolong lanjut terus menahannya sampai kami memberikan instruksi lebih lanjut dalam utas ini”。

Nomad kemudian mengkonfirmasi dalam tweet pada 2 Agustus bahwa “bekerja sepanjang waktu untuk mengatasi situasi dan 【telah】memberi tahu penegak hukum dan mempertahankan perusahaan terkemuka untuk intelijen blockchain dan forensic”。Mereka menambahkan,，“Tujuan kami ialah mengidentifikasi akun yang terlibat dan melacak dan memulihkan dana”。

Jembatan Nomad telah ditangguhkan setelah serangan itu，menurut utas di Twitter resmi Nomad。Tim mengungkapkan bahwa mereka bekerja dengan penegak hukum untuk menyelidiki peristiwa tersebut lebih lanjut。

Yakni，

“Kami menyadari peniru yang menyamar sebagai Nomad dan memberikan alamat tipuan untuk mengumpulkan dana。Kami belum memberikan instruksi untuk mengembalikan dana jembatan。 Mengabaikan komunikasi dari semua channel selain channel resmi Nomad：@nomadxyz_ ”

Sumber：Twitter

Terdapat spekulasi yang jelas bahwa beberapa uang tunai diambil oleh peretas white hat untuk mengamankannya。

Acara ini sedang diselidiki，dan proyek yang diretas belum merilis penjelasan lainnya lagi。Selain itu， beberapa ahli crypto telah memberikan pendapat mereka yang bisa diterapkan akan kejadian ini；

Menurut Chris Cleveland，pendiri，dan CEO PIXM，insiden Nomad memperingatkan seberapa jauh platform mata uang crypto secara umum dan jembatan cross-chain masih perlu diawasi dalam hal keamanan。Dia berkata，“Kami melihat dan memantau phishing terkait crypto dan serangan cyber lainnya setiap hari，dan mereka menjadi lebih canggih dan mengharuskan pengguna untuk lebih berhati-hati dari sebelumnya”。

Kesimpulan

---

Meningkatnya insiden serangan jembatan hanya menambah keprihatinan keamanan dan kepercayaan pada industri crypto。Fakta bahwa blockchain didesentralisasi membuatnya cepat untuk bertahan。

Namun，dikarenakan protokol dan software semuanya dibuat oleh individu，terdapat kemungkinan adanya kerentanan。

Penulis：Gate.io Pengamat：M. Olatunji Penerjemah：Tasya A.

* Artikel ini hanya mewakili pandangan pengamat dan bukan merupakan saran investasi。

* Gate.io memiliki semua hak atas artikel ini。Memposting ulang artikel akan diizinkan asalkan diberikan izin oleh Gate.io。Dalam semua kasus lain， tindakan hukum akan diambil karena pelanggaran hak cipta。