Nors daugumą kriptovaliutų įsilaužimų sukelia vieniši vilkai, atrodo, kad pirmadienį 190 mln.
Į Nomad kryžminės grandinės tiltą vakar buvo įsilaužta už 190 mln.
Iš pradžių pažeidžiamumą pirmadienį aptiko nežinomas įsilaužėlis, kuris greitai beveik pavogė 95 milijonų JAV dolerių, „Blockchain“ saugos įmonė „PeckShield“ šiandien pasakojo „The Block“. Kai žinia apie pradinį išnaudojimą pasklido kriptovaliutų ratuose, kiti suskubo prisijungti prie pirminio įsilaužėlio, kad paimtų sau pinigų.
PeckShield papasakojo „The Block“, kad per valandą iš Nomad lėšų buvo paimta daugiau nei 300 adresų. Įmonė apskaičiavo, kad 41 iš jų paėmė 152 milijonus dolerių, o tai atitinka 80% pavogtų lėšų iš Nomad kryžminio grandininio tilto.
Tačiau ne visi jie buvo blogi aktoriai. PeckShield's analizė aptiko mažiausiai šešis adresus, kuriuose buvo baltieji įsilaužėliai, taip pavadinti etiškiems įsilaužėliams, kurie nuo tilto pagrobė apie 8.2 mln. Tikimasi, kad jie grąžins lėšas.
Nomad yra kryžminės grandinės tiltas, įrankis, leidžiantis vartotojams perkelti ERC-20 žetonus tarp Ethereum, Moonbeam, Evmos ir Avalanche. Tai viena iš kelių tilto paslaugų, galimų kriptovaliutų erdvėje.
Kas negerai
„PeckShield“ teigimu, pažeidžiamumą įvedė „Nomad“ kūrėjai atnaujindami išmaniąją sutartį. Klaida atsirado dėl to, kad kūrėjai klaidingai pakeitė tilto išmaniąją sutartį ir įdiegė kodą be tinkamo audito.
„Nomad Bridge įsilaužimas tapo įmanomas dėl netinkamo inicijavimo, dėl kurio nulinis adresas (0x00) buvo pažymėtas kaip patikima šaknis, todėl kiekvienas pranešimas buvo įrodytas pagal numatytuosius nustatymus“, - sakė PeckShield.
Žymėjimas 0x00 (taip pat vadinamas nulinis adresas) netyčia patikima šaknis išjungė išmaniąją sutarties patikrą, kuri užtikrino, kad išėmimai buvo atlikti tik galiojančiais adresais.
Po to, kai Nomad kode buvo įdiegtas pažeidžiamumas, panaikinimo užklausos iš bet kurio adreso pagal numatytuosius nustatymus buvo laikomos galiojančiomis. Tai reiškė, kad kiekvienas norintis galėjo pasiimti lėšas nuo tilto.
Išnaudojimui nereikėjo pažangių techninių žinių apie išmaniąsias sutartis. Tereikėjo tiesiog redaguoti įsilaužėlio operaciją su Etherscan, pakeisti paskirties adresą savo adresu ir pateikti pinigų išėmimo prašymą ant Nomad tilto.
© 2022 „The Block Crypto, Inc.“. Visos teisės saugomos. Šis straipsnis pateiktas tik informaciniais tikslais. Ji nesiūloma ir nesiekiama naudoti kaip teisinė, mokesčių, investavimo, finansinė ar kita konsultacija.
Šaltinis: https://www.theblock.co/post/160851/nomads-190-million-bridge-exploit-drew-hacking-feeding-frenzy-of-300-addresses?utm_source=rss&utm_medium=rss