Ndërsa shumica e hakimeve të kriptove shkaktohen nga ujqër të vetmuar, shfrytëzimi i së hënës prej 190 milionë dollarësh i urës së kryqëzuar Nomad duket se është nxitur nga një furi ushqimore e qindra aktorëve të këqij.
Ura ndër-zinxhirore e Nomad-it u hakua për 190 milionë dollarë në asete të ndryshme kriptosh dje pasi një përditësim softuerik ekspozoi një cenueshmëri kritike që i lejonte këdo që të largonte fondet nga ura.
Dobësia u zbulua fillimisht të hënën nga një haker i panjohur, i cili vodhi shpejt pothuajse $ 95 milion, tha sot për The Block firma e sigurisë së blockchain PeckShield. Ndërsa lajmi për shfrytëzimin fillestar u përhap në qarqet e kriptove, të tjerët nxituan t'i bashkohen hakerit origjinal për të marrë para për veten e tyre.
PeckShield i tha The Block se më shumë se 300 adresa kishin marrë fonde nga Nomad gjatë një ore. Firma vlerësoi se 41 prej tyre morën 152 milionë dollarë, ekuivalente me 80% të fondeve të vjedhura nga ura ndër-zinxhirore e Nomad.
Megjithatë, jo të gjithë ishin aktorë të këqij. PeckShield's analizë gjetën të paktën gjashtë adresa që ishin hakerë të bardhë, një emër i dhënë për hakerat etikë, të cilët morën rreth 8.2 milionë dollarë nga ura. Ata pritet të kthejnë fondet.
Nomad është një urë ndër-zinxhirore, një mjet që lejon përdoruesit të lëvizin argumentet ERC-20 midis Ethereum, Moonbeam, Evmos dhe Avalanche. Është një nga disa shërbime urë të disponueshme në hapësirën e kriptove.
Wentfarë shkoi keq
Sipas PeckShield, dobësia u prezantua nga zhvilluesit e Nomad gjatë një përditësimi të kontratës inteligjente. Gabimi erdhi nga zhvilluesit që modifikuan gabimisht kontratën inteligjente të urës dhe vendosën kodin pa auditimin e duhur.
“Hakimi i urës Nomad është bërë i mundur për shkak të një inicializimi të pahijshëm që çon në shënimin e adresës zero (0x00) si një rrënjë e besueshme, gjë që bëri që çdo mesazh të provohej i vlefshëm si parazgjedhje,” tha PeckShield.
shenjë 0x00 (i quajtur edhe si adresë zero) rrënja e besuar aksidentalisht çaktivizoi një kontroll inteligjent të kontratës që siguronte që tërheqjet të ishin kryer vetëm në adresa të vlefshme.
Pasi dobësia u fut në kodin e Nomad, kërkesat për tërheqje nga çdo adresë u konsideruan si të vlefshme si parazgjedhje. Kjo do të thoshte se kushdo mund të tërhiqte fondet nga ura nëse dëshironte.
Ky shfrytëzim nuk kërkonte njohuri të avancuara teknike të kontratave inteligjente. Gjithçka që duhej të bënte ishte thjesht të modifikonte transaksionin e hakerit me Etherscan, të zëvendësonte adresën e destinacionit me adresën e tyre dhe të bënte kërkesën për tërheqje në urën Nomad.
© 2022 Blloku Crypto, Inc. Të gjitha të drejtat e rezervuara. Ky artikull është dhënë vetëm për qëllime informative. Nuk ofrohet ose nuk synohet të përdoret si këshillë ligjore, tatimore, investimesh, financiare ose këshillë tjetër.
Burimi: https://www.theblock.co/post/160851/nomads-190-million-bridge-exploit-drew-hacking-feeding-frenzy-of-300-addresses?utm_source=rss&utm_medium=rss