Ühes ulatuslikumas häkkimises pärast Axie Infinity'si Ronini silla külgahel märtsis võimaldas Nomadi märgisilla ärakasutamine sillalt röövida ligikaudu 190 miljonit dollarit.
Turvafirma PeckShield ütles Avaldage lahti et varastatud rahalised vahendid olid denomineeritud aastal Ethereum, USDC, DAI, FXS ja CQT.
"Oleme teadlikud Nomadi märgisillaga seotud juhtumist. Me uurime praegu ja edastame värskendused, kui need meil on, "Nomad tweeted Esmaspäeva pärastlõuna.
Oleme teadlikud Nomadi märgisillaga seotud juhtumist. Uurime praegu ja edastame värskendused, kui need meil on.
Nomad Bridge on protokoll, mis võimaldab kasutajatel liigutada digitaalseid varasid erinevate plokiahelate vahel, sealhulgas Laviin (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 ja Moonbeam (GLMR).
Nomad TVL kukkus järsult, kuna protokollist eemaldati raha. Pilt: DeFi laama.
Kuigi Nomadi üksikasju on vähe, on mõned osutanud konfiguratsiooniveale a arukas leping mida Nomad kasutab põhjusena sõnumite töötlemiseks, võimaldades Nomadi likviidsusfondist miljoneid välja voolata.
"Kõik sai alguse sellest, et @officer_cia jagas @spreekaway säutsu ETHSecurity Telegrami kanalis," säutsus krüptoinvesteerimisfirma Paradigm teadur Sam Sun. "Kuigi mul polnud tol ajal aimugi, mis toimub, oli sillalt lahkuvate varade suur hulk selgelt halb märk."
"Selgub, et rutiinse uuendamise käigus," jätkas Sun. "Nomadi meeskond initsialiseeris usaldusväärse juureks 0x00. Selguse huvides on nullväärtuste kasutamine lähtestamisväärtustena tavaline praktika. Kahjuks oli sel juhul sellel väike kõrvalmõju iga sõnumi automaatne tõestamine.
Nomadi silla rünnak on meeletu kõigile tasuta
Sun võrdles juhtunut "meeletu tasuta kõigi jaoks", kuna selle ärakasutamiseks kulus vähe tehnilisi teadmisi.
"Te ei pidanud teadma Solidity'st ega Merkle Trees'ist ega muust sellisest," kirjutas Sun. "Te pidite vaid leidma toimiva tehingu, leidma/asendama teise inimese aadressi enda omaga ja seejärel uuesti edastama."
Samamoodi plokiahela turvafirma Certic Teatas, et ründajad saavad seda viga lihtsalt tehinguid kopeerides ja kleepides ära kasutada. Ettevõte lisas, et inimesed saavad uuendust ära kasutada, "kopeerides algse häkkeri tehingu kõneandmed ja asendades algse aadressi isikliku aadressiga".
?Nomadi silla häkkimise selgitamine ?
Kogu tunnustus @samczsun tema surmajärgse haavatavuse diagnoosimise raske töö eest
Kuidas saime ajaloos esimese 9-kujulise silla detsentraliseeritud rahvarüüstamise? pic.twitter.com/v5u6mrKQv1
Sel viisil tühjendati sillalt peaaegu kõik rahalised vahendid.
"Nomadi sild sai omanduseks sarnaselt Qubiti QBridge'iga," säutsus a16z turvainsener Matt Gleason. "Silla ebaturvaline konfiguratsioon põhjustas konkreetse tee, mis võimaldab mis tahes tehingut saata. Viga on replica protsessi funktsioonis.
1/ Nomadi sild sai omanduseks sarnaselt Qubiti QBridge'iga. Silla ebaturvaline konfiguratsioon põhjustas konkreetse tee, mis võimaldab mis tahes tehingut saata. Viga on replica protsessi funktsioonis.
"Süsteem võtab vastu kõik sõnumid, mida ta pole kunagi varem näinud, ja töötleb seda nii, nagu oleks see ehtne, mis tähendab, et peate vaid küsima kogu silla raha ja te saate selle," lisas ta.
FTC andmetel küberrünnakud krüptoprojektide vastu ei paista olevat mingit märki aeglustumisest, sest alates 1. aastast on krüptovarasid varastatud üle miljardi dollari väärtuses.
Olge kursis krüptouudistega, saate oma postkasti igapäevaseid värskendusi.
