Көбінесе криптографиялық бұзылулар жалғыз қасқырлардың кесірінен болғанымен, дүйсенбідегі Nomad кросс-көпірін 190 миллион долларға пайдалануы жүздеген жаман актерлердің қоректенуі себеп болған сияқты.
Кеше бағдарламалық жасақтаманы жаңарту кез келген адамға көпірден қаражат шығаруға мүмкіндік беретін маңызды осалдықты ашқаннан кейін Nomad's cross-tories көпірі әртүрлі крипто активтерінде $190 миллионға бұзылды.
Бұл осалдықты бастапқыда дүйсенбіде белгісіз хакер анықтады, ол тез ұрлап кете жаздады $ 95 млн, деп хабарлады блокчейн қауіпсіздік фирмасы PeckShield бүгін The Block. Бастапқы эксплуатация туралы хабар криптографиялық ортада тараған кезде, басқалар өздері үшін ақша алу үшін түпнұсқа хакерге қосылуға асықты.
PeckShield The Block-қа бір сағат ішінде 300-ден астам мекенжай Nomad-тен қаражат алғанын айтты. Фирма олардың 41-і 152 миллион доллар алды деп есептейді, бұл Nomad's cross-toin көпірінен ұрланған қаражаттың 80%-ына тең.
Дегенмен, олардың барлығы да жаман актерлер болған жоқ. PeckShield's талдау Ақ хакерлердің кем дегенде алты мекенжайын тапты, бұл этикалық хакерлерге берілген атау, олар көпірден шамамен 8.2 миллион долларды тартып алды. Олар қаражатты қайтарады деп күтілуде.
Nomad - бұл кросс-тізбекті көпір, пайдаланушыларға ERC-20 токендерін Ethereum, Moonbeam, Evmos және Avalanche арасында жылжытуға мүмкіндік беретін құрал. Бұл криптовалюта кеңістігінде қол жетімді бірнеше көпір қызметтерінің бірі.
Неліктен дұрыс емес болды
PeckShield мәліметтері бойынша, осалдықты Nomad әзірлеушілері смарт келісімшартты жаңарту кезінде енгізген. Қате әзірлеушілердің көпірдің смарт келісім-шартын қате өзгертіп, тиісті аудитсіз кодты қолдануынан туындады.
«Nomad bridge бұзуы нөлдік мекенжай (0x00) сенімді түбір ретінде белгіленетін дұрыс емес инициализацияның арқасында мүмкін болды, бұл әрбір хабарламаның әдепкі бойынша жарамды екенін дәлелдеді», - деді ПекШилд.
Таңбалау 0x00 (сонымен қатар нөлдік мекенжай) сенімді түбір кездейсоқ ақшаны алу тек жарамды мекенжайлар бойынша жүргізілгенін қамтамасыз ететін смарт келісімшартты тексеруді өшірді.
Nomad's кодында осалдық енгізілгеннен кейін кез келген мекен-жайдан қайтарып алу сұраулары әдепкі бойынша жарамды деп саналды. Бұл кез келген адам қаласа көпірден қаражат ала алатынын білдірді.
Эксплойт смарт келісім-шарттар туралы алдыңғы қатарлы техникалық білімді қажет етпеді. Тек Etherscan көмегімен хакер транзакциясын өңдеу, тағайындалған мекенжайды өз мекенжайымен ауыстыру және Nomad көпірінде ақшаны алу туралы сұрау салу жеткілікті болды.
© 2022 Block Crypto, Inc. Барлық құқықтар қорғалған. Бұл мақала тек ақпараттық мақсатта берілген. Ол заңдық, салықтық, инвестициялық, қаржылық немесе басқа кеңестер ретінде ұсынылмайды немесе пайдалануға арналмаған.
Дереккөз: https://www.theblock.co/post/160851/nomads-190-million-bridge-exploit-drew-hacking-feeding-frenzy-of-300-addresses?utm_source=rss&utm_medium=rss