Axie Infinity-ის შემდეგ ერთ-ერთ ყველაზე ვრცელ ჰაკში რონინის ხიდის გვერდითი ჯაჭვი მარტში, Nomad-ის ნიშნის ხიდზე განხორციელებულმა ექსპლუატაციამ საშუალება მისცა თავდამსხმელებს გაძარცვეს ხიდი დაახლოებით 190 მილიონი დოლარი.
ამის შესახებ უსაფრთხოების ფირმა PeckShield-მა განაცხადა გაშიფვრა რომ მოპარული თანხები იყო დენომინირებული Ethereum, USDC, DAI, FXS და CQT.
„ჩვენთვის ცნობილია ინციდენტის შესახებ Nomad-ის ნიშნის ხიდთან დაკავშირებით. ჩვენ ამჟამად ვიძიებთ და შემოგთავაზებთ განახლებებს, როდესაც გვექნება ისინი, ”- Nomad tweeted ორშაბათს ნაშუადღევს.
ჩვენთვის ცნობილია მომთაბარე ნიშნის ხიდთან დაკავშირებული ინციდენტი. ჩვენ ამჟამად ვიკვლევთ და შემოგთავაზებთ განახლებებს, როდესაც გვექნება ისინი.
Nomad bridge არის პროტოკოლი, რომელიც მომხმარებლებს საშუალებას აძლევს გადაიტანონ ციფრული აქტივები სხვადასხვა ბლოკჩეინებს შორის, მათ შორის Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 და Moonbeam (GLMR).
Nomad TVL მკვეთრად დაეცა, რადგან თანხები ამოიღეს პროტოკოლიდან. სურათი: დეფი ლამის.
მიუხედავად იმისა, რომ Nomad-ის დეტალები მწირია, ზოგიერთმა მიუთითა კონფიგურაციის შეცდომაზე a ჭკვიანი ხელშეკრულება რომელსაც Nomad იყენებს შეტყობინებების დასამუშავებლად, როგორც მიზეზს, რაც საშუალებას აძლევს მილიონებს გამოიყოს Nomad-ის ლიკვიდურობის ფონდიდან.
„ყველაფერი დაიწყო მას შემდეგ, რაც @officer_cia გააზიარა @spreekaway-ის ტვიტი ETHSecurity Telegram-ის არხზე“, - წერს სემ სუნი, კრიპტო საინვესტიციო ფირმის Paradigm-ის მკვლევარი. „მიუხედავად იმისა, რომ იმ დროს წარმოდგენა არ მქონდა, რა ხდებოდა, ხიდიდან გასული აქტივების მხოლოდ დიდი რაოდენობა აშკარად ცუდი ნიშანი იყო“.
”გამოდის, რომ რუტინული განახლების დროს,” განაგრძო Sun. „Nomad-ის გუნდმა სანდო ფესვის ინიციალიზაცია მოახდინა 0x00-ად. გასაგებად რომ ვთქვათ, ნულოვანი მნიშვნელობების ინიციალიზაციის მნიშვნელობების გამოყენება ჩვეულებრივი პრაქტიკაა. სამწუხაროდ, ამ შემთხვევაში მას ჰქონდა მცირე გვერდითი ეფექტი ყოველი შეტყობინების ავტომატური დადასტურებით. ”
მომთაბარე ხიდზე თავდასხმა "გაგიჟებული თავისუფალი ყველასათვის"
Sun-მა შეადარა ის, რაც მოხდა შემდეგ "გაბრაზებული თავისუფალი ყველასათვის", რადგან მცირე ტექნიკური ცოდნა სჭირდებოდა ექსპლოიტის გამოყენებას.
”თქვენ არ გჭირდებათ იცოდეთ Solidity-ის ან Merkle Trees-ის ან რაიმე მსგავსის შესახებ”, - წერს Sun. ”თქვენ მხოლოდ უნდა გეპოვათ ტრანზაქცია, რომელიც მუშაობდა, იპოვნეთ/შეცვალეთ სხვისი მისამართი თქვენით და შემდეგ ხელახლა გადასცეთ იგი.”
ანალოგიურად, ბლოკჩეინის უსაფრთხოების ფირმა სერტიკი გავრცელდა ინფორმაცია, რომ თავდამსხმელებს შეეძლოთ შეცდომის გამოყენება ტრანზაქციების უბრალოდ კოპირებითა და ჩასმით. ფირმამ დაამატა, რომ ადამიანებს შეუძლიათ გამოიყენონ განახლება „ჰაკერების თავდაპირველი ტრანზაქციის ზარის მონაცემების კოპირებით და ორიგინალური მისამართის პირადი მისამართით შეცვლით“.
?მომთაბარე ხიდის გატეხვის ახსნა ?
ყველა დამსახურებაა @samczsun მძიმე დაუცველობის დიაგნოზის დასადგენად მის შემდგომ სიკვდილში
„ნომადის ხიდს დაეპატრონა კუბიტის QBridge-ის მსგავსად“, - წერს a16z უსაფრთხოების ინჟინერი მეტ გლისონი. „ხიდის არასაიმედო კონფიგურაციამ განაპირობა კონკრეტული ბილიკი ნებისმიერი ტრანზაქციის გაგზავნისთვის. შეცდომა არის Replica-ს 'პროცესის' ფუნქციის შიგნით.
1/ მომთაბარე ხიდი კუბიტის QBridge-ის ანალოგიურად დაეუფლა. ხიდის არასაიმედო კონფიგურაციამ გამოიწვია კონკრეტული ბილიკი, რომელიც საშუალებას მისცემს ნებისმიერ ტრანზაქციას. შეცდომა არის Replica-ს „პროცესის“ ფუნქციის შიგნით.
„სისტემა მიიღებს ნებისმიერ შეტყობინებას, რომელიც აქამდე არასდროს უნახავს და ამუშავებს მას ისე, თითქოს ის იყო ნამდვილი, რაც იმას ნიშნავს, რომ ყველაფერი რაც თქვენ უნდა გააკეთოთ არის ხიდის მთელი ფულის მოთხოვნა და თქვენ მიიღებთ მას“, დასძინა მან.
FTC-ის თანახმად, კიბერშელაკები კრიპტოპროექტების წინააღმდეგ, როგორც ჩანს, შენელების ნიშნები არ ჩანს, 1 წლიდან მოპარული 2021 მილიარდი დოლარის კრიპტოვალუტა.
ადევნეთ თვალი კრიპტო სიახლეებს, მიიღეთ ყოველდღიური განახლებები თქვენს შემოსულებში.
