Tech

Tiek ziņots, ka Nomad ignorēja drošības ievainojamību, kas izraisīja 190 miljonu ASV dolāru ļaunprātīgu izmantošanu

08/03/2022
Bitcoin Ethereum ziņas

Nomad marķiera tilta uzlaušana 3. augustā bija ceturtais lielākais kriptovalūtu uzlaušana vēsturē, redzot, ka no platformas tika izvadīti gandrīz 200 miljonu ASV dolāru vērti kriptovalūtu aktīvi. Tomēr vairāk nekā uzlaušana, tā pamatā esošā metodoloģija izpelnījās plašu uzmanību.

Ekspluatācija notika viedā līguma ievainojamības dēļ, kurā simtiem lietotāju, izņemot hakeru, iesaistījās un atņēma tik daudz, cik varēja, vienkārši kopējot un ielīmējot sākotnējā hakera izmantotos darījumu datus un mainot maka adresi uz savu. Daudzi vēlāk šo notikumu uzskatīja par decentralizētu laupīšanu, jo tajā bija iesaistīti parastie kopienas locekļi.

Vēlāk Nomad komanda atklāja Cointelegraph ka daži cilvēki, kas paņēma līdzekļus, rīkojās labestīgi, lai aizsargātu kriptovalūtu no nokļūšanas nepareizās rokās.

attēls

Pēc uzlaušanas kriptogrāfijas analīzes grupa BestBrokers atklāja, ka pirmā ļaunprātīga izmantošana notika 1. augustā, kā rezultātā tika iztērēti 400 Bitcoin (BTC) četros dažādos darījumos. Hakeri vēlāk novirzīja visus 22,880 XNUMX Ether (ETH), pēc tam pārgāja uz stabilām monētām vairāk nekā 107 miljonu ASV dolāru vērtībā un beidzot sāka novirzīt projekta atbalstītos altcoinus.

Incidents ir pieredzējis WBTC, Wrapped Ether (WETH), USD monētu (USDC), Frax (FRAX), Kovalent Query Token (CQT), Hummingbird Governance Token (HBOT), IAGON (IAG), Dai (DAI), GeroWallet (GERO), Card Starter (CARDS), Saddle DAO (SDL) un Charli3 (C3) žetoni, kas ņemti no tilta.

Saistītie: Notiek Solana bāzēta maka uzlaušana, redzot, ka tiek iztērēti miljoni

Daži altkoīni, kas tika nozagti no platformas, cieta pat 94% kritumu. Dati savākti Analīzes firma parādīja, ka pēc uzlaušanas vislielāko sabrukumu piedzīvoja šādi altkoīni:

Izmantotā viedo līgumu ievainojamība tika uzsvērta Quantstamp drošības audita ziņojumā, ko jūnija pirmajā nedēļā veica. Nomad komanda atbildēja, apgalvojot, ka ir "faktiski neiespējami atrast tukšās lapas priekšattēlu".

Auditori uzskatīja, ka Nomad komanda toreiz bija pārpratusi šo problēmu, un divu mēnešu laikā šī pati ievainojamība bija iemesls gandrīz 200 miljonu dolāru zaudējumiem.

Cointelegraph sazinājās ar Nomad ar jautājumiem, kas saistīti ar atklājumu, un attiecīgi atjauninās stāstu.