У той час як більшість криптозломів спричинені вовками-одинаками, у понеділок спроба перехресного мосту Nomad вартістю 190 мільйонів доларів, схоже, була зумовлена божевіллям сотень поганих акторів.
Міст крос-ланцюгів Nomad був зламаний на суму 190 мільйонів доларів у різних криптоактивах вчора після того, як оновлення програмного забезпечення виявило критичну вразливість, яка дозволила будь-кому вивести кошти з мосту.
Уразливість була спочатку виявлена в понеділок невідомим хакером, який швидко викрав майже $ 95 мільйонів, – повідомила сьогодні The Block фірма безпеки блокчейну PeckShield. Коли новина про початковий експлойт поширилася в крипто-колах, інші кинулися приєднатися до оригінального хакера, щоб отримати гроші собі.
PeckShield розповів The Block, що понад 300 адрес взяли кошти від Nomad протягом години. Фірма підрахувала, що 41 з них забрали 152 мільйони доларів, що еквівалентно 80% викрадених коштів із крос-ланцюгового мосту Nomad.
Однак не всі вони були поганими акторами. PeckShield's аналіз знайшли принаймні шість адрес білих хакерів, так називають етичних хакерів, які забрали з мосту близько 8.2 мільйона доларів. Очікується, що вони повернуть кошти.
Nomad — це міжланцюговий міст, інструмент, який дозволяє користувачам переміщувати токени ERC-20 між Ethereum, Moonbeam, Evmos і Avalanche. Це одна з кількох послуг мосту, доступних у криптопросторі.
Що пішло не так
За словами PeckShield, уразливість була представлена розробниками Nomad під час оновлення смарт-контракту. Помилка виникла через те, що розробники помилково змінили смарт-контракт мосту та розгорнули код без належного аудиту.
«Злом Nomad bridge став можливим завдяки неправильній ініціалізації, яка призвела до позначення нульової адреси (0x00) як довіреного кореня, що призвело до того, що кожне повідомлення вважалося дійсним за замовчуванням», — сказав ПекШилд.
маркування 0x00 (також називається нульова адреса) довірений корінь випадково вимкнув перевірку смарт-контракту, яка гарантувала, що зняття коштів здійснювалося лише на дійсні адреси.
Після появи уразливості в коді Nomad запити на виведення з будь-якої адреси вважалися дійсними за замовчуванням. Це означало, що будь-хто міг зняти кошти з мосту, якщо захоче.
Експлойт не вимагав глибоких технічних знань смарт-контрактів. Все, що потрібно було зробити, це просто відредагувати транзакцію хакера за допомогою Etherscan, замінити адресу призначення на свою власну адресу та зробити запит на виведення коштів на мосту Nomad.
© 2022 The Block Crypto, Inc. Всі права захищені. Ця стаття надана лише в інформаційних цілях. Він не пропонується або не може використовуватися як юридична, податкова, інвестиційна, фінансова чи інша порада.
Джерело: https://www.theblock.co/post/160851/nomads-190-million-bridge-exploit-drew-hacking-feeding-frenzy-of-300-addresses?utm_source=rss&utm_medium=rss