მიუხედავად იმისა, რომ კრიპტო-ჰაკერების უმეტესობა გამოწვეულია მარტოხელა მგლების მიერ, ორშაბათს 190 მილიონი დოლარის ღირებულების მომთაბარე ხიდის ექსპლუატაცია, როგორც ჩანს, გამოწვეული იყო ასობით ცუდი მსახიობების კვებით.
Nomad-ის ჯაჭვური ხიდი გატეხეს 190 მილიონ დოლარად სხვადასხვა კრიპტო აქტივში გუშინ მას შემდეგ, რაც პროგრამული უზრუნველყოფის განახლებამ გამოავლინა კრიტიკული დაუცველობა, რომელიც ნებისმიერს საშუალებას აძლევდა დაეხარჯა სახსრები ხიდიდან.
დაუცველობა თავდაპირველად ორშაბათს აღმოაჩინა უცნობმა ჰაკერმა, რომელმაც სწრაფად მოიპარა თითქმის $ 95 მილიონიბლოკჩეინის უსაფრთხოების ფირმა PeckShield-მა განუცხადა The Block-ს დღეს. როდესაც პირველადი ექსპლოიტის შესახებ ინფორმაცია გავრცელდა კრიპტო წრეებში, სხვები ჩქარობდნენ შეუერთდნენ თავდაპირველ ჰაკერს, რათა აეღოთ ფული.
PeckShield-მა განუცხადა The Block-ს, რომ 300-ზე მეტმა მისამართმა აიღო თანხა Nomad-ისგან ერთი საათის განმავლობაში. ფირმამ შეაფასა, რომ მათგან 41-მა აიღო 152 მილიონი დოლარი, რაც Nomad-ის ჯაჭვის ხიდის მოპარული სახსრების 80%-ის ეკვივალენტია.
თუმცა, ყველა მათგანი არ იყო ცუდი მსახიობი. პეკშილდის ანალიზი აღმოაჩინა მინიმუმ ექვსი მისამართი, რომლებიც თეთრი ჰაკერები იყვნენ, ეს სახელი ეწოდა ეთიკურ ჰაკერებს, რომლებმაც ხიდიდან დაახლოებით 8.2 მილიონი დოლარი წაიღეს. ისინი, სავარაუდოდ, თანხებს დაუბრუნებენ.
Nomad არის ჯვარედინი ჯაჭვის ხიდი, ინსტრუმენტი, რომელიც მომხმარებლებს საშუალებას აძლევს გადაიტანონ ERC-20 ტოკენები Ethereum, Moonbeam, Evmos და Avalanche-ს შორის. ეს არის ერთ-ერთი იმ რამდენიმე ხიდის სერვისიდან, რომელიც ხელმისაწვდომია კრიპტო სივრცეში.
რა მოხდა?
PeckShield-ის თანახმად, დაუცველობა შემოიღეს Nomad-ის დეველოპერებმა ჭკვიანი კონტრაქტის განახლების დროს. შეცდომა წარმოიშვა დეველოპერებმა შეცდომით შეცვალეს ხიდის ჭკვიანი კონტრაქტი და განათავსეს კოდი სათანადო აუდიტის გარეშე.
„Nomad bridge-ის გატეხვა შესაძლებელი გახდა არასწორი ინიციალიზაციის გამო, რაც იწვევს ნულოვანი მისამართის (0x00) მონიშვნას სანდო ძირად, რამაც განაპირობა ის, რომ ყველა შეტყობინება დადასტურდა ნაგულისხმევად მართებულად“, - თქვა პეკშილდმა.
მარკირება 0x00 (ასევე მოუწოდა როგორც ნულოვანი მისამართი) სანდო ფესვი შემთხვევით გამორთო ჭკვიანი კონტრაქტის შემოწმება, რომელიც დარწმუნდა, რომ თანხები განხორციელდა მხოლოდ მოქმედ მისამართებზე.
Nomad-ის კოდში დაუცველობის დანერგვის შემდეგ, ნებისმიერი მისამართიდან გატანის მოთხოვნა ნაგულისხმევად ჩაითვალა ძალაში. ეს იმას ნიშნავდა, რომ ნებისმიერს შეეძლო ხიდიდან თანხის ამოღება, თუ სურდა.
ექსპლოიტი არ მოითხოვდა ჭკვიანი კონტრაქტების გაფართოებულ ტექნიკურ ცოდნას. საკმარისი იყო ჰაკერების ტრანზაქციის რედაქტირება Etherscan-ით, დანიშნულების მისამართის შეცვლა საკუთარი მისამართით და გატანის მოთხოვნა Nomad bridge-ზე.
© 2022 ბლოკი კრიპტო, Inc. ყველა უფლება დაცულია. ეს სტატია მოცემულია მხოლოდ ინფორმაციული მიზნებისთვის. იგი არ არის შემოთავაზებული ან გამიზნულია, როგორც სამართლებრივი, საგადასახადო, ინვესტიციის, ფინანსური ან სხვა რჩევების გამოყენება.
წყარო: https://www.theblock.co/post/160851/nomads-190-million-bridge-exploit-drew-hacking-feeding-frenzy-of-300-addresses?utm_source=rss&utm_medium=rss