У једном од најобимнијих хакова од Акие Инфинити-а Ронин Бридге Сидецхаин у марту, експлоатација на мосту Номад токен омогућила је нападачима да опљачкају мост за отприлике 190 милиона долара.
Сигурносна фирма ПецкСхиелд је рекла Дешифрирај да су украдена средства деноминирана у Ethereum, УСДЦ, ДАИ, ФКСС и ЦКТ.
„Свесни смо инцидента који укључује Номад токен бридге. Тренутно истражујемо и пружићемо ажурирања када их будемо имали“, Номад твеетед Понедељак поподне.
Свесни смо инцидента који укључује Номад токен бридге. Тренутно истражујемо и обезбедићемо ажурирања када их будемо имали.
Номад бридге је протокол који омогућава корисницима да премештају дигитална средства између различитих блок ланаца, укључујући Лавина (АВАКС), Ethereum (ЕТХ), Евмос (ЕВМОС), Милкомеда Ц1 и Моонбеам (ГЛМР).
Номад ТВЛ је пао како су средства повучена из протокола. Слика: ДеФи Ллама.
Иако су детаљи из Номада оскудни, неки су указали на грешку у конфигурацији у а паметан уговор који Номад користи за обраду порука као узрок, омогућавајући да се милиони одводе из Номадовог фонда ликвидности.
„Све је почело када је @оффицер_циа поделио @спреекаваи-ов твит на ЕТХСецурити Телеграм каналу“, твитовао је Сем Сун, истраживач у крипто инвестиционој фирми Парадигм. „Иако нисам имао појма шта се дешава у то време, сама количина имовине која је напустила мост је очигледно била лош знак.
„Испоставило се да је то током рутинске надоградње“, наставио је Сун. „Тим Номада је иницијализовао поуздани роот да буде 0к00. Да будемо јасни, употреба нултих вредности као вредности за иницијализацију је уобичајена пракса. Нажалост, у овом случају је имао мали нежељени ефекат аутоматског доказивања сваке поруке.
Напад номадског моста 'помахнитала слободна за све'
Сун је упоредио оно што се догодило поред „помахнитавог бесплатног за све“ јер је било потребно мало техничког знања да би се искористио експлоат.
„Нисте морали да знате за Солидити или Меркле Треес или било шта слично“, написао је Сун. „Све што је требало да урадите је да пронађете трансакцију која је функционисала, пронађете/замените адресу друге особе својом, а затим је поново емитујете.”
Слично, блокчејн безбедносна фирма Цертик пријавио да нападачи би могли да искористе грешку једноставним копирањем и лепљењем трансакција. Компанија је додала да би људи могли да искористе надоградњу „копирањем оригиналних података о трансакцијама хакера и заменом оригиналне адресе личном“.
?Објашњавање хаковања Номад бридге-а?
Свака част @самцзсун за обављање тешког дијагнозе прецизне рањивости у његовом постмортему
Како смо добили прву децентрализовану пљачку деветоцифреног моста у историји? пиц.твиттер.цом/в5у6мрККв1
На овај начин мост је истрошен готово свих средстава.
„Номадов мост је постао власништво на сличан начин као и Кубитов КБридге“, написао је на Твитеру а16з безбедносни инжењер Мет Глисон. „Небезбедна конфигурација моста изазвала је специфичну путању за омогућавање слања било које трансакције. Грешка је унутар функције 'процеса' Реплике."
1/ Номадов мост је у власништву на сличан начин као и Кубитов КБридге. Небезбедна конфигурација моста је изазвала специфичну путању за омогућавање слања било које трансакције. Грешка је унутар функције „процес“ Реплике.
„Систем ће прихватити сваку поруку коју никада раније није видео и обрадити је као да је оригинална, што значи да све што треба да урадите је да затражите сав новац од моста и добићете га“, додао је он.
Према ФТЦ-у, цибераттацкс против крипто пројеката изгледа да не показују знаке успоравања, са преко милијарду долара украдених криптовалута од 1.
Будите у току са крипто вестима, добијајте дневне новости у пријемном сандучету.
