Dok većinu kripto hakova uzrokuju vukovi samotnjaci, čini se da je eksploatacija Nomadskog mosta od 190 miliona dolara od ponedjeljka uzrokovana ludilom stotina loših glumaca.
Nomadov cross-chain most je jučer hakovan za 190 miliona dolara u raznim kripto imovinama nakon što je ažuriranje softvera razotkrilo kritičnu ranjivost koja je svima omogućila da crpe sredstva sa mosta.
Ranjivost je prvobitno otkrivena u ponedjeljak od strane nepoznatog hakera koji je brzo ukrao umalo $ 95 miliona, rekla je za Block danas firma za zaštitu blokova PeckShield. Kako se vijest o početnoj eksploataciji širila u kripto krugovima, drugi su požurili da se pridruže originalnom hakeru kako bi uzeli novac za sebe.
PeckShield je rekao za The Block da je više od 300 adresa uzelo sredstva od Nomada u toku jednog sata. Firma je procijenila da je 41 od njih uzeo 152 miliona dolara, što je ekvivalentno 80% ukradenih sredstava sa Nomadovog unakrsnog mosta.
Međutim, nisu svi bili loši glumci. PeckShield's analiza pronašao najmanje šest adresa koje su bile bele hakere, ime koje je dato etičkim hakerima, koji su uzeli oko 8.2 miliona dolara sa mosta. Od njih se očekuje da vrate sredstva.
Nomad je cross-chain bridge, alat koji korisnicima omogućava premještanje ERC-20 tokena između Ethereum, Moonbeam, Evmos i Avalanche. To je jedna od nekoliko bridge usluga dostupnih u kripto prostoru.
Šta je pošlo po zlu
Prema PeckShield-u, ranjivost su uveli Nomad programeri tokom ažuriranja pametnog ugovora. Greška je došla od strane programera koji su pogrešno modificirali pametni ugovor mosta i implementirali kod bez odgovarajuće revizije.
„Hak na Nomad bridge je omogućen zbog nepravilne inicijalizacije koja je dovela do toga da je nulta adresa (0x00) označena kao pouzdani root, što je dovelo do toga da je svaka poruka potvrđena kao standardno validna“, rekao je PeckShield.
obilježavanje 0x00 (naziva se i kao nultu adresu) povjerljivi korijen slučajno isključio provjeru pametnog ugovora koja je osigurala da su povlačenja izvršena samo na važeće adrese.
Nakon što je ranjivost uvedena u Nomadov kod, zahtjevi za povlačenje sa bilo koje adrese smatrani su važećim po defaultu. To je značilo da svako može povući sredstva sa mosta ako želi.
Eksploatacija nije zahtijevala napredno tehničko znanje o pametnim ugovorima. Sve što je trebalo učiniti je jednostavno urediti transakciju hakera sa Etherscan-om, zamijeniti odredišnu adresu njihovom vlastitom adresom i postaviti zahtjev za povlačenje na Nomad mostu.
© 2022. Block Crypto, Inc. Sva prava pridržana. Ovaj je članak dostupan samo u informativne svrhe. Ne nude se niti se koriste kao pravni, porezni, investicioni, finansijski ili drugi savjeti.
Izvor: https://www.theblock.co/post/160851/nomads-190-million-bridge-exploit-drew-hacking-feeding-frenzy-of-300-addresses?utm_source=rss&utm_medium=rss