Lai gan lielāko daļu kriptovalūtu uzlaušanas izraisa vientuļi vilki, šķiet, ka pirmdienas 190 miljonu dolāru vērto Nomad pārrobežu tilta ekspluatāciju izraisīja simtiem sliktu aktieru barošanās neprāts.
Nomad pārrobežu ķēdes tilts vakar tika uzlauzts par 190 miljoniem ASV dolāru dažādos kriptovalūtos pēc tam, kad programmatūras atjauninājums atklāja kritisku ievainojamību, kas ļāva ikvienam iztukšot līdzekļus no tilta.
Pirmdien ievainojamību sākotnēji atklāja nezināms hakeris, kurš ātri gandrīz nozaga $ 95 miljoni, blokķēdes drošības firma PeckShield pastāstīja The Block šodien. Kad ziņas par sākotnējo izmantošanu izplatījās kriptogrāfijas aprindās, citi steidzās pievienoties sākotnējam hakeram, lai paņemtu naudu sev.
PeckShield pastāstīja The Block, ka stundas laikā vairāk nekā 300 adreses ir paņēmušas līdzekļus no Nomad. Uzņēmums lēsa, ka 41 no viņiem paņēma 152 miljonus dolāru, kas atbilst 80% no Nomad šķērsķēžu tilta nozagtajiem līdzekļiem.
Tomēr ne visi no viņiem bija slikti aktieri. PeckShield's analīze atrada vismaz sešas adreses, kas bija baltie hakeri, kas tika dēvēts par ētiskajiem hakeriem, kuri no tilta sagrāba aptuveni 8.2 miljonus dolāru. Paredzams, ka viņi atdos līdzekļus.
Nomad ir šķērsķēžu tilts, rīks, kas ļauj lietotājiem pārvietot ERC-20 marķierus starp Ethereum, Moonbeam, Evmos un Avalanche. Tas ir viens no vairākiem tilta pakalpojumiem, kas pieejami kriptovalūtā.
Kas nogāja greizi?
Saskaņā ar PeckShield, ievainojamību ieviesa Nomad izstrādātāji viedā līguma atjaunināšanas laikā. Kļūda radās tāpēc, ka izstrādātāji kļūdaini modificēja tilta viedo līgumu un izvietoja kodu bez atbilstoša audita.
"Nomad tilta uzlaušana ir iespējama nepareizas inicializācijas dēļ, kuras rezultātā nulles adrese (0x00) tiek atzīmēta kā uzticama sakne, kā rezultātā katrs ziņojums pēc noklusējuma tika pierādīts kā derīgs," sacīja PeckShield.
Marķējums 0x00 (saukta arī par nulles adrese) uzticamā sakne nejauši izslēdza viedo līguma pārbaudi, kas nodrošināja, ka izņemšana tika veikta tikai uz derīgām adresēm.
Pēc ievainojamības ieviešanas Nomad kodā pēc noklusējuma tika uzskatīti par derīgiem izņemšanas pieprasījumi no jebkuras adreses. Tas nozīmēja, ka ikviens, ja vēlas, varēja izņemt līdzekļus no tilta.
Ekspluatācijai nebija vajadzīgas progresīvas tehniskās zināšanas par viedajiem līgumiem. Viss, kas bija jādara, bija vienkārši rediģēt hakera darījumu ar Etherscan, aizstāt galamērķa adresi ar viņu pašu adresi un iesniegt izņemšanas pieprasījumu uz Nomad tilta.
© 2022 The Block Crypto, Inc. Visas tiesības aizsargātas. Šis raksts ir paredzēts tikai informatīviem nolūkiem. Tas netiek piedāvāts vai paredzēts izmantot kā juridiskas, nodokļu, investīciju, finanšu vai citas konsultācijas.
Avots: https://www.theblock.co/post/160851/nomads-190-million-bridge-exploit-drew-hacking-feeding-frenzy-of-300-addresses?utm_source=rss&utm_medium=rss