Axie Infinity's-тен кейінгі ең ауқымды бұзулардың бірінде Ронин көпірінің бүйірлік тізбегі наурызда Nomad token көпіріндегі эксплуатация шабуылдаушыларға көпірді шамамен $190 миллион тонауға мүмкіндік берді.
Бұл туралы PeckShield қауіпсіздік фирмасы хабарлады Шифрды шешіңіз ұрланған қаражаттың номиналды екенін көрсетті Ethereum, USDC, DAI, FXS және CQT.
«Біз Nomad жетон көпіріне қатысты оқиғадан хабардармыз. Біз қазір зерттеп жатырмыз және олар болған кезде жаңартуларды береміз», - деді Nomad tweeted Дүйсенбі күндіз.
Біз Nomad жетон көпіріне қатысты оқиғадан хабардармыз. Біз қазір зерттеп жатырмыз және олар болған кезде жаңартуларды береміз.
Nomad bridge — пайдаланушыларға сандық активтерді әртүрлі блокчейндер арасында жылжытуға мүмкіндік беретін протокол көшкін (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 және Moonbeam (GLMR).
Nomad TVL хаттамадан қаражат алынып тасталғандықтан құлдырады. Сурет: DeFi лама.
Nomad мәліметтері аз болғанымен, кейбіреулер a ақылды келісім Бұл Nomad себеп ретінде хабарламаларды өңдеу үшін пайдаланады, бұл Nomad's өтімділік пулынан миллиондаған қаражатты төгуге мүмкіндік береді.
«Бәрі @officer_cia ETHSecurity Telegram арнасында @spreekaway твиттерімен бөліскен кезде басталды», - деп жазды Paradigm крипто-инвестициялық фирмасының зерттеушісі Сэм Сун твиттерде. «Ол кезде мен не болып жатқанын білмесем де, көпірден кетіп бара жатқан активтердің көптігі жаман белгі екені анық».
«Кәдімгі жаңарту кезінде белгілі болды», - деп жалғастырды Сан. «Nomad командасы сенімді түбірді 0x00 етіп инициализациялады. Түсінікті болу үшін, инициализация мәндері ретінде нөлдік мәндерді пайдалану әдеттегі тәжірибе болып табылады. Өкінішке орай, бұл жағдайда әрбір хабарламаны автоматты түрде дәлелдеудің кішкене жанама әсері болды ».
Көшпелі көпірге шабуыл «баршаға тегін»
Сан «баршаға арналған ақымақтықпен» болған оқиғаны салыстырды, өйткені эксплуатацияны пайдалану үшін аз техникалық білім қажет болды.
«Сізге Solidity немесе Merkle Trees немесе сол сияқты нәрселер туралы білудің қажеті жоқ», - деп жазды Sun. «Сізге бар болғаны жұмыс істеген транзакцияны табу, басқа адамның мекенжайын өзіңіздікімен табу/ауыстыру, содан кейін оны қайта тарату болды».
Сол сияқты, блокчейн қауіпсіздік фирмасы Сертик деп хабарлады шабуылдаушылар транзакцияларды жай көшіру және қою арқылы қатені пайдалана алады. Фирма адамдар жаңартуды «хакердің транзакция туралы бастапқы деректерін көшіру және түпнұсқа мекенжайды жеке мекен-жайға ауыстыру арқылы» пайдалана алады деп қосты.
?Nomad bridge hack түсіндіріңіз?
Барлық несие @samczsun өлгеннен кейінгі кезеңде дәл осалдықты диагностикалауда ауыр жүкті көтергені үшін
Біз тарихтағы 9 сандық көпірді орталықтандырылмаған бірінші тонауды қалай алдық? pic.twitter.com/v5u6mrKQv1
Осылайша көпірдің барлық дерлік қаражаты тартылды.
«Nomad's көпірі Qubit's QBridge сияқты иеленді», - деп жазды a16z қауіпсіздік инженері Мэтт Глисон. «Көпірдің қауіпті конфигурациясы жіберілген транзакцияға рұқсат беретін белгілі бір жолды тудырды. Қате Репликаның «процесс» функциясының ішінде».
1/ Nomad's bridge Qubit's QBridge сияқты меншікке ие болды. Көпірдің қауіпті конфигурациясы жіберілген кез келген транзакцияға рұқсат беретін арнайы жолды тудырды. Қате Репликаның «процесс» функциясының ішінде.
«Жүйе бұрын-соңды көрмеген кез келген хабарламаны қабылдап, оны шынайы сияқты өңдейді, яғни көпірдің барлық ақшасын сұрасаңыз болғаны, сіз оны аласыз», - деп қосты ол.
FTC мәліметтері бойынша, кибершабуылдар криптовалюта жобаларына қарсы 1 жылдан бері 2021 миллиард доллардан астам крипто ұрланған.
Крипто жаңалықтарынан хабардар болыңыз, кіріс жәшігіңізде күнделікті жаңартуларды алыңыз.
