Tech

Balto cepuru hakeri ir atdevuši Nomad tiltam žetonus 32.6 miljonu dolāru vērtībā

08/08/2022
Bitcoin Ethereum ziņas

Tikai dažas stundas pēc Nomad žetonu tilta publicēti Ethereum maka adrese pagājušajā nedēļā, lai atgrieztu līdzekļus pēc 190 miljonu ASV dolāru uzlaušanas, whitehat hakeri kopš tā laika ir atgriezuši līdzekļus aptuveni 32.6 miljonu ASV dolāru vērtībā. Lielāko daļu līdzekļu veidoja stabilās monētas USD Monēta (USDC), Piesiets (USDT) un Frax, kā arī altcoins. 

attēls

Saskaņā ar pētījumu, ko publicējis Pols Hofmans no BestBrokers, Nomad protokola ievainojamība tika uzsvērta Nomad nesenajā auditā, ko veica Quantstamp 6. jūnijā, un tika uzskatīts par “zemu risku”. Tiklīdz ekspluatācija tika atklāta, sabiedrības locekļi pievienojās uzbrukumam, kopējot un ielīmējot sākotnējo uzlaušanas darījumu, kas bija līdzīgs "decentralizētai laupīšanai". Vairāk nekā 190 miljonu dolāru vērtas kriptovalūtas no Nomad tika izvadītas mazāk nekā trīs stundu laikā.

Uzbrukums notika tikai četrus mēnešus pēc tam, kad projekts aprīlī piesaistīja 22.4 miljonus ASV dolāru. Kā pastāstīja Hofmans, uzbrukumā tika izmantota nepareizi inicializēta Merkles sakne, kas tiek izmantota kriptovalūtās, lai nodrošinātu, ka datu bloki, kas tiek nosūtīti, izmantojot vienādranga tīklu, ir veseli un nemainīgi. Programmēšanas kļūda faktiski automātiski pierādīja, ka jebkurš darījuma ziņojums ir derīgs.

Saistītie: Tiek ziņots, ka Nomad ignorēja drošības ievainojamību, kas izraisīja 190 miljonu ASV dolāru ļaunprātīgu izmantošanu

Tomēr ne visi laupīšanas dalībnieki izmantoja šo iespēju. Gandrīz uzreiz pēc uzlaušanas sākuma whitehat hakeri nokopēja to pašu darījuma jaucējkodu, ko sākotnējais hakeris, lai izņemtu līdzekļus drošai atgriešanai. Un otrādi, viens hakeris, iespējams, izmantoja savu Ethereum domēna nosaukumu mazgāt nozagtie līdzekļi, kas rada iespēju veikt savstarpēju verifikāciju ar Know-Your-Customer informāciju, izmantojot arī domēnu.