Medtem ko večino vdorov v kriptovalute povzročijo volkovi samotarji, se zdi, da je v ponedeljek 190 milijonov dolarjev vreden izkoriščanje Nomad cross-bridge povzročila norost več sto slabih igralcev.
Včeraj je prišlo do vdora v Nomadov medverižni most za 190 milijonov dolarjev različnih kripto sredstev, potem ko je posodobitev programske opreme razkrila kritično ranljivost, ki je komur koli omogočila črpanje sredstev iz mosta.
Ranljivost je v ponedeljek sprva odkril neznani heker, ki je hitro ukradel skoraj $ 95 milijonov, je za The Block danes povedalo podjetje za varnost verige blokov PeckShield. Ko se je novica o začetnem izkoriščanju razširila v kripto krogih, so se drugi pohiteli pridružiti prvotnemu hekerju, da bi vzeli denar zase.
PeckShield je za The Block povedal, da je več kot 300 naslovov v eni uri vzelo sredstva Nomadu. Podjetje je ocenilo, da jih je 41 odneslo 152 milijonov dolarjev, kar ustreza 80 % ukradenih sredstev iz Nomadovega navzkrižnega verižnega mostu.
Vendar niso bili vsi slabi igralci. PeckShield's Analiza našel vsaj šest naslovov, ki so bili beli hekerji, ime za etične hekerje, ki so z mosta pograbili približno 8.2 milijona dolarjev. Sredstva naj bi vrnili.
Nomad je medverižni most, orodje, ki uporabnikom omogoča premikanje žetonov ERC-20 med Ethereum, Moonbeam, Evmos in Avalanche. Je ena od več premostitvenih storitev, ki so na voljo v kripto prostoru.
Kaj je šlo narobe
Glede na PeckShield so ranljivost uvedli razvijalci Nomad med posodobitvijo pametne pogodbe. Napaka je nastala, ker so razvijalci pomotoma spremenili pametno pogodbo mostu in uvedli kodo brez ustrezne revizije.
"Vdor v Nomad bridge je mogoč zaradi nepravilne inicializacije, ki je povzročila, da je ničelni naslov (0x00) označen kot zaupanja vreden koren, zaradi česar je bilo vsako sporočilo privzeto veljavno," je dejal PeckShield.
Označevanje 0x00 (imenovan tudi kot ničelni naslov) zaupanja vreden koren pomotoma izklopil preverjanje pametne pogodbe, ki je zagotovilo, da so bili dvigi izvedeni samo na veljavne naslove.
Potem ko je bila ranljivost uvedena v kodo Nomad, so bile zahteve za dvig s katerega koli naslova privzeto veljavne. To je pomenilo, da je lahko vsak dvignil sredstva z mosta, če je hotel.
Izkoriščanje ni zahtevalo naprednega tehničnega znanja o pametnih pogodbah. Vse, kar je moral storiti, je bilo preprosto urediti hekerjevo transakcijo z Etherscan, zamenjati ciljni naslov s svojim naslovom in narediti zahtevo za dvig na mostu Nomad.
© 2022 The Block Crypto, Inc. Vse pravice pridržane. Ta članek je na voljo samo v informativne namene. Ni na voljo ali namenjen uporabi kot pravni, davčni, naložbeni, finančni ali drug nasvet.
Vir: https://www.theblock.co/post/160851/nomads-190-million-bridge-exploit-drew-hacking-feeding-frenzy-of-300-addresses?utm_source=rss&utm_medium=rss