Dok su većinu kripto hakiranja uzrokovali vukovi samotnjaci, čini se da je u ponedjeljak 190 milijuna dolara vrijedna eksploatacija Nomad cross-bridgea bila potaknuta ludilom za hranjenjem stotina loših glumaca.
Nomadov cross-chain bridge jučer je hakiran za 190 milijuna dolara u različitim kripto imovinama nakon što je ažuriranje softvera razotkrilo kritičnu ranjivost koja je svakome omogućila odvođenje sredstava iz mosta.
Ranjivost je prvobitno otkrio u ponedjeljak nepoznati haker koji je brzo ukrao gotovo $ 95 milijuna, izjavila je danas za The Block tvrtka za sigurnost blockchaina PeckShield. Kako su se vijesti o početnom exploitu proširile u kripto krugovima, drugi su požurili pridružiti se originalnom hakeru kako bi uzeli novac za sebe.
PeckShield je za The Block rekao da je više od 300 adresa uzelo sredstva od Nomada tijekom sat vremena. Tvrtka je procijenila da je 41 od njih uzeo 152 milijuna dolara, što je jednako 80% ukradenih sredstava iz Nomadovog lančanog mosta.
No, nisu svi bili loši glumci. PeckShielda analiza pronašao najmanje šest adresa na kojima su bili bijeli hakeri, ime dano etičkim hakerima, koji su zgrabili oko 8.2 milijuna dolara s mosta. Od njih se očekuje povrat sredstava.
Nomad je cross-chain most, alat koji korisnicima omogućuje premještanje ERC-20 tokena između Ethereuma, Moonbeama, Evmosa i Avalanchea. To je jedna od nekoliko usluga mosta dostupnih u kripto prostoru.
Što je pošlo po zlu
Prema PeckShieldu, ranjivost su uveli programeri Nomada tijekom ažuriranja pametnog ugovora. Greška je nastala jer su programeri pogreškom modificirali pametni ugovor mosta i implementirali kod bez odgovarajuće revizije.
"Hakiranje Nomad bridgea omogućeno je zbog nepravilne inicijalizacije koja je dovela do toga da je nulta adresa (0x00) označena kao pouzdani korijen, što je dovelo do toga da je svaka poruka prema zadanim postavkama valjana", rekao je PeckShield.
obilježavanje 0x00 (također se naziva nulta adresa) pouzdani korijen slučajno isključio je provjeru pametnog ugovora koja je osiguravala da se isplate vrše samo na važeće adrese.
Nakon što je ranjivost uvedena u Nomadov kod, zahtjevi za isplatu s bilo koje adrese smatrani su važećim prema zadanim postavkama. To je značilo da svatko može povući sredstva s mosta ako želi.
Iskorištavanje nije zahtijevalo napredno tehničko znanje o pametnim ugovorima. Sve što je trebalo učiniti je jednostavno urediti hakerovu transakciju s Etherscanom, zamijeniti odredišnu adresu vlastitom adresom i napraviti zahtjev za isplatu na Nomad bridgeu.
© 2022. Block Crypto, Inc. Sva prava pridržana. Ovaj je članak dostupan samo u informativne svrhe. Ne nude se niti se koriste kao pravni, porezni, investicijski, financijski ili drugi savjeti.
Izvor: https://www.theblock.co/post/160851/nomads-190-million-bridge-exploit-drew-hacking-feeding-frenzy-of-300-addresses?utm_source=rss&utm_medium=rss