U jednom od najopsežnijih hakova od Axie Infinityja Ronin Bridge Sidechain u martu, eksploatacija na Nomad token mostu omogućila je napadačima da opljačkaju most za otprilike 190 miliona dolara.
Sigurnosna firma PeckShield rekla je Dešifriraj da su ukradena sredstva denominirana Ethereum, USDC, DAI, FXS i CQT.
“Svjesni smo incidenta koji uključuje Nomad token bridge. Trenutno istražujemo i daćemo ažuriranja kada ih budemo imali,” Nomad tweeted ponedeljak popodne.
Svjesni smo incidenta koji uključuje Nomad token bridge. Trenutno istražujemo i objavit ćemo ažuriranja kada ih budemo imali.
Nomad bridge je protokol koji omogućava korisnicima da premještaju digitalnu imovinu između različitih blockchaina, uključujući lavina (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 i Moonbeam (GLMR).
Nomad TVL je pao kako su sredstva povučena iz protokola. slika: DeFi Llama.
Iako su detalji iz Nomada oskudni, neki su ukazali na grešku u konfiguraciji u a pametan ugovor koji Nomad koristi za obradu poruka kao uzrok, omogućavajući da se milioni povuku iz Nomadovog fonda likvidnosti.
“Sve je počelo kada je @officer_cia podijelio @spreekaway-jev tvit na ETHSecurity Telegram kanalu”, tvitovao je Sam Sun, istraživač u kripto investicionoj firmi Paradigm. „Iako nisam imao pojma šta se dešava u to vreme, samo velika količina imovine koja je napustila most je očigledno bila loš znak.”
"Ispostavilo se da je to tokom rutinske nadogradnje", nastavio je Sun. “Tim Nomada je inicijalizirao pouzdani root na 0x00. Da budemo jasni, upotreba nultih vrijednosti kao inicijalizacijskih vrijednosti je uobičajena praksa. Nažalost, u ovom slučaju to je imalo mali nuspojava automatskog dokazivanja svake poruke.”
Napad nomadskog mosta 'pomahnitala slobodna za sve'
Sun je uporedio ono što se dogodilo pored "pomahnitalog besplatnog za sve" jer je bilo potrebno malo tehničkog znanja da bi se iskoristio eksploat.
"Niste morali da znate za Solidity ili Merkle Trees ili bilo šta slično", napisao je Sun. “Sve što je trebalo da uradite je da pronađete transakciju koja je uspela, pronađete/zamenite adresu druge osobe svojom, a zatim je ponovo emitujete.”
Slično, blockchain sigurnosna firma Certic prijavio da napadači bi mogli iskoristiti grešku jednostavnim kopiranjem i lijepljenjem transakcija. Kompanija je dodala da bi ljudi mogli iskoristiti nadogradnju "kopiranjem originalnih podataka o transakcijama hakera i zamjenom originalne adrese ličnom."
?Objašnjavanje hakovanja Nomad bridge-a?
Svaka čast @samczsun za obavljanje teškog dijagnoze precizne ranjivosti u njegovoj obdukciji
Kako smo došli do prve decentralizovane pljačke devetocifrenog mosta u istoriji? pic.twitter.com/v5u6mrKQv1
Na ovaj način most je istrošen gotovo svih sredstava.
“Nomadov most je postao vlasništvo na sličan način kao i Qubitov QBridge,” tvitovao je inženjer sigurnosti a16z Matt Gleason. “Nesigurna konfiguracija mosta uzrokovala je specifičnu putanju za omogućavanje slanja bilo koje transakcije. Greška je unutar funkcije 'procesa' Replike.”
1/ Nomadov most je postao vlasništvo na sličan način kao i Qubitov QBridge. Nesigurna konfiguracija mosta uzrokovala je specifičnu putanju za omogućavanje bilo koje poslane transakcije. Greška je unutar Replike "proces" funkcije.
“Sistem će prihvatiti svaku poruku koju nikada ranije nije vidio i obraditi je kao da je originalna, što znači da sve što treba da uradite je da zatražite sav novac od mosta i dobićete ga”, dodao je.
Prema FTC-u, kibernetički napadi Čini se da protiv kripto projekata ne pokazuju znake usporavanja, s više od milijardu dolara ukradenih kriptovaluta od 1.
Budite u toku sa kripto vestima, primajte svakodnevna ažuriranja u inbox.
