2 тамыз күні таңертең Nomad bridge компаниясы жалғасып жатқан эксплуатациядан хабардар екендігі туралы ескерту жариялады. Келесі сағаттарда хаттаманың 190 миллион доллардан астам қаражаты түгелдей жойылды.
Крипто қоғамдастығының әзірлеушісі және ақ қалпақ «samczsun» болған оқиғаны түсіндіріп, оқиғалар тізбегін бұзды. Ол бұл шабуылды «Web3 бұрын-соңды көрген ең хаотикалық шабуылдардың бірі» деп атады.
1/ Nomad Web150 бұрын-соңды көрмеген ең хаотикалық шабуылдардың бірінде 3 миллион доллардан астам шығынға ұшырады. Бұл қалай болды және оның түпкі себебі неде? Сізді сахна артына түсіруге рұқсат етіңіз бе? pic.twitter.com/Y7Q3fZ7ezm
- samczsun (@samczsun) Тамыз 1, 2022
Nomad - бұл кросс-тізбекті тасымалдауға арналған таңбалауыш көпір Ethereum, Avalanche, Milkomeda және Moonbeam.
Көшпенділердің қаражаты төгілді
Зерттеушілер ETHSecurity Telegram арнасында көпірден шығатын қаражаттың бірнеше транзакцияларын көрсететін твитпен бөлісті. Бір қарағанда, бұл ондық таңбалауыштардағы қате конфигурация болып көрінді, бірақ Самчсун мынаны анықтады:
«Алайда, Moonbeam желісін қолмен азаптай қазғаннан кейін, мен Moonbeam транзакциясы 0.01 WBTC-ке көпір әкелгенімен, Ethereum транзакциясы 100 WBTC-ге көпір салғанын растадым».
Бұл эксплуатацияның айырмашылығы - транзакциялар «дәлелденбеген» және тікелей орындалмаған. «Хабарды алдымен дәлелдемей өңдеу мүмкіндігі өте жақсы емес», - деді Самчсун. Кодер тағы да қазба жұмыстарын жүргізді және әдеттегі Nomad жаңартуы кезінде инициализацияланған «Реплика» смарт келісімшартында өлімге әкелетін кемшілікті тапты.
Оның айтуынша, бұл хаотикалық, өйткені крипто ұрыларына ешқандай техникалық білім қажет емес. Оларға жұмыс істеген транзакцияны тауып, мақсатты мекенжайды өз мекен-жайымен ауыстырып, оны қайта тарату қажет болды.
«Кәдімгі жаңарту нөлдік хэшті жарамды түбір ретінде белгіледі, бұл Nomad қолданбасында хабарларды бұрмалауға мүмкіндік берді. Шабуылшылар транзакцияларды көшіру/қою үшін мұны теріс пайдаланды және көпірді тез ағызып жіберді.
TVL нөлге дейін
Nomad тіпті көпірге қайтарылған қаражатты ұрлауға әрекеттенетін алаяқтық мекенжайларды анықтады.
Біз өзін Nomad деп таныстыратын және ақша жинау үшін жалған мекенжайлар беретінін білеміз. Біз көпір қаражатын қайтару туралы әзірге нұсқаулар бермейміз. Nomad ресми арнасынан басқа барлық арналардың хабарламаларын елемеу: @nomadxyz_
— Nomad (⤭⛓?) (@nomadxyz_) Тамыз 2, 2022
Сәйкес Дефиллама, Nomad-тың құлыпталған жалпы құны соңғы бірнеше сағатта 190.38 миллион доллардан 5,336 XNUMX долларға дейін төмендеді.
Nomad - бұл Ронин көпірі, Вормхоле және басқа да көпірлердің жоғары профильді эксплуатацияларынан кейінгі биылғы соңғы таңбалауыш көпір шабуылы. үйлесім.
Binance Тегін $100 (ерекше): Бұл сілтемені пайдаланыңыз тіркелу және Binance Futures бірінші айда $100 тегін және 10% жеңілдік комиссияларын алу (терминдер).
PrimeXBT арнайы ұсынысы: Бұл сілтемені пайдаланыңыз тіркелу және депозиттеріңізде $50 7,000 алу үшін POTATOXNUMX кодын енгізіңіз.
Дереккөз: https://cryptopotato.com/nomad-bridge-suffers-190m-loss-in-chaotic-copy-paste-attack/