2 აგვისტოს გამთენიისას Nomad Bridge-მა გამოაქვეყნა გაფრთხილება, რომ იცოდა მიმდინარე ექსპლუატაციის შესახებ. მომდევნო საათებში მთელი პროტოკოლის 190 მილიონ დოლარზე მეტი თანხები ამოიწურა.
კრიპტო საზოგადოების დეველოპერმა და თეთრი ქუდის "samczsun"-მა დაარღვია მოვლენების ჯაჭვი და განმარტა რა მოხდა. მან შეტევა დაასახელა, როგორც "ერთ-ერთი ყველაზე ქაოტური ჰაკი, რომელიც ოდესმე უნახავს Web3-ს".
1/ Nomad ახლახან დაიხარჯა 150 მილიონ დოლარად ერთ-ერთ ყველაზე ქაოტურ ჰაკში, რომელიც ოდესმე უნახავს Web3-ს. ზუსტად როგორ მოხდა ეს და რა იყო ძირითადი მიზეზი? ნება მომეცი კულისებში გადაგიყვანო? pic.twitter.com/Y7Q3fZ7ezm
- samczsun (@samczsun) 1 წლის 2022 აგვისტო
Nomad არის სიმბოლური ხიდი ჯაჭვური გადარიცხვებისთვის Ethereum, ზვავი, მილკომედა და მთვარის სხივი.
მომთაბარე სახსრები ამოიწურა
მკვლევარებმა გააზიარეს ტვიტი ETHSecurity Telegram-ის არხზე, რომელშიც ნაჩვენებია სახსრების მრავალი ტრანზაქცია ხიდიდან გასვლისას. ერთი შეხედვით, ეს იყო არასწორი კონფიგურაცია სიმბოლურ ათწილადებში, მაგრამ samczsun-მა აღმოაჩინა:
„თუმცა, Moonbeam-ის ქსელში გარკვეული მტკივნეული ხელით გათხრების შემდეგ, მე დავადასტურე, რომ სანამ Moonbeam ტრანზაქციამ გადალახა 0.01 WBTC, რატომღაც Ethereum-ის ტრანზაქცია 100 WBTC-ზე გადაიდო.
ამ ექსპლოიტის განსხვავებულად არის ის, რომ ტრანზაქციები არ იყო „დამტკიცებული“ და უშუალოდ შესრულებული. ”შეიძლება შეტყობინების დამუშავება მისი პირველი დადასტურების გარეშე, ძალიან არ არის კარგი,” - თქვა სამცსუნმა. კოდირებულმა კიდევ რამდენიმე გათხრა და აღმოაჩინა ფატალური ხარვეზი "Replica" სმარტ კონტრაქტში, რომელიც ინიციალიზებულია Nomad-ის რუტინული განახლების დროს.
მან დაამატა, რომ ეს იყო ქაოტური, რადგან კრიპტო ქურდებს ტექნიკური ცოდნა არ სჭირდებოდათ. მათ უბრალოდ სჭირდებოდათ ტრანზაქციის პოვნა, რომელიც მუშაობდა, შეცვალეს სამიზნე მისამართი თავისით და გადაეცემათ იგი.
რუტინულმა განახლებამ აღნიშნა ნულოვანი ჰეში, როგორც მოქმედი root, რამაც გამოიწვია Nomad-ზე შეტყობინებების გაყალბების საშუალება. თავდამსხმელებმა ეს ბოროტად გამოიყენეს ტრანზაქციების კოპირების/დასმის მიზნით და სწრაფად დაცურეს ხიდი გააფთრებული, ყველასათვის თავისუფალ მდგომარეობაში.
TVL ნულამდე
Nomad-მა აღმოაჩინა თაღლითური მისამართები, რომლებიც ცდილობდნენ ხიდზე დაბრუნებული თანხების მოპარვას.
ჩვენ ვიცით იმ პირთა შესახებ, რომლებიც წარმოადგენენ მომთაბარეებს და აწვდიან თაღლითურ მისამართებს თანხების შესაგროვებლად. ჩვენ ჯერ არ ვაძლევთ ინსტრუქციებს ხიდის სახსრების დასაბრუნებლად. Nomad-ის ოფიციალური არხის გარდა ყველა არხის კომისიის უგულებელყოფა: @nomadxyz_
— მომთაბარე (⤭⛓?) (@nomadxyz_) 2 წლის 2022 აგვისტო
მიხედვით დეფილამაNomad-ის მთლიანი ღირებულება ბოლო რამდენიმე საათის განმავლობაში 190.38 მილიონი დოლარიდან 5,336 დოლარამდე შემცირდა.
Nomad არის უახლესი სიმბოლო ხიდზე თავდასხმა წელს რონინის ხიდის, ჭიის ხვრელის და მაღალი დონის ექსპლოიტეტების შემდეგ. ჰარმონია.
Binance უფასო $100 (ექსკლუზიური): გამოიყენეთ ეს ბმული დარეგისტრირდეთ და მიიღოთ $100 უფასო და 10% ფასდაკლება Binance Futures-ის პირველ თვეში (ტერმინები).
PrimeXBT სპეციალური შეთავაზება: გამოიყენეთ ეს ბმული დარეგისტრირდით და შეიყვანეთ POTATO50 კოდი, რომ მიიღოთ $7,000-მდე თქვენს დეპოზიტებზე.
წყარო: https://cryptopotato.com/nomad-bridge-suffers-190m-loss-in-chaotic-copy-paste-attack/