Во еден од најобемните хакови од Axie Infinity's Страничен синџир на мостот Ронин во март, експлоатацијата на токен мостот Номад им овозможи на напаѓачите да го ограбат мостот од околу 190 милиони долари.
изјавија од безбедносната фирма PeckShield Дешифрирај дека украдените средства се деноминирани во Ethereum, USDC, DAI, FXS и CQT.
„Свесни сме за инцидентот со токен мостот Номад. Во моментов истражуваме и ќе обезбедиме ажурирања кога ќе ги имаме“, Номад Твитер понеделник попладне.
Свесни сме за инцидентот со токен мостот Номад. Во моментов истражуваме и ќе обезбедиме ажурирања кога ќе ги имаме.
Мостот Номад е протокол кој им овозможува на корисниците да преместуваат дигитални средства помеѓу различни блокчејнови, вклучително и Лавина (АВАКС), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 и Moonbeam (GLMR).
Номад ТВЛ драстично падна бидејќи средствата беа подигнати од протоколот. Слика: ДеФи Лама.
Додека деталите од Номад се ретки, некои укажаа на грешка во конфигурацијата во a паметен договор што Номад го користи за обработка на пораките како причина, овозможувајќи милиони да се исцедат од базенот за ликвидност на Номад.
„Се започна кога @officer_cia го сподели твитот на @spreekaway на телеграмскиот канал ETHSecurity“, твитна Сем Сан, истражувач во крипто инвестициската фирма Paradigm. „Иако немав поим што се случува во тоа време, само огромниот обем на средства што го напуштаа мостот беше очигледно лош знак“.
„Излегува дека за време на рутинска надградба“, продолжи Сан. „Тимот Номад го иницијализираше доверливиот корен да биде 0x00. За да биде јасно, користењето нулта вредности како вредности за иницијализација е вообичаена практика. За жал, во овој случај имаше мал несакан ефект на автоматско докажување на секоја порака“.
Нападот на номадскиот мост „бесплатно за сите“
Сан го спореди она што се случи потоа со „бесплатно бесплатно за сите“, бидејќи беше потребно малку техничко знаење за да се искористи експлоатацијата.
„Не требаше да знаете за Solidity или Merkle Trees или нешто слично“, напиша Sun. „Се што требаше да направите е да пронајдете трансакција што функционирала, да ја пронајдете/замените адресата на другата личност со вашата и потоа повторно да ја емитувате“.
Слично на тоа, фирма за безбедност на блокчејн Сертик објави дека напаѓачите би можеле да ја искористат грешката со едноставно копирање и вметнување трансакции. Фирмата додаде дека луѓето би можеле да ја искористат надградбата „со копирање на оригиналните хакерски податоци од трансакциите и замена на оригиналната адреса со лична адреса“.
?Објаснување на хакирањето на мостот Номад ?
Секоја чест за @samczsun за вршење на тешките работи за дијагностицирање на прецизната ранливост во неговата постмортам
Како го добивме првиот децентрализиран ограбување на 9-цифрен мост во историјата? pic.twitter.com/v5u6mrKQv1
На овој начин, мостот беше исцеден од речиси сите негови средства.
„Мостот на Номад стана сопственост на сличен начин како и Кјубитскиот мост“, напиша на Твитер инженерот за безбедност на a16z, Мет Глисон. „Несигурната конфигурација на мостот предизвика одредена патека за да се дозволи секоја испратена трансакција. Грешката е во функцијата „процес“ на репликата“.
1/ Мостот на Номад стана сопственост на сличен начин како и Кјубитовиот мост. Несигурната конфигурација на мостот предизвика одредена патека за да се дозволи секоја испратена трансакција. Грешката е во функцијата „процес“ на Replica.
„Системот ќе ја прифати секоја порака што никогаш претходно не ја видел и ќе ја обработи како да е вистинска, што значи дека сè што треба да направите е да ги побарате сите пари од мостот и ќе ги добиете“, додаде тој.
Според FTC, сајбер напади против крипто проектите се чини дека не покажуваат знаци на забавување, со над 1 милијарда долари во крипто украдени од 2021 година.
Останете на врвот на крипто вестите, добивајте дневни ажурирања во вашето сандаче.
