Në orët e para të 2 gushtit, ura Nomad shpalli një alarm se ishte në dijeni të një shfrytëzimi të vazhdueshëm. Në orët në vijim, të gjithë fondet e protokollit prej më shumë se 190 milionë dollarësh u shteruan.
Zhvilluesi i komunitetit Crypto dhe "samczsun" i "kapelës së bardhë" prishi zinxhirin e ngjarjeve, duke shpjeguar se çfarë ndodhi. Ai e etiketoi sulmin si "një nga hakimet më kaotike që Web3 ka parë ndonjëherë".
1/ Nomad sapo u zbraz për mbi 150 milion dollarë në një nga hakimet më kaotike që Web3 ka parë ndonjëherë. Si ndodhi saktësisht kjo dhe cili ishte shkaku kryesor? Më lejoni t'ju çoj në prapaskenë? pic.twitter.com/Y7Q3fZ7ezm
- samczsun (@samczsun) Gusht 1, 2022
Nomad është një urë simbolike për transferimet ndër-zinxhirore ndërmjet Ethereum, Orteku, Milkomeda dhe Rrezja e Hënës.
Fondet Nomad janë shteruar
Studiuesit ndanë një postim në Twitter në kanalin Telegram ETHSecurity që tregon transaksione të shumta të fondeve që largohen nga ura. Në shikim të parë, dukej se ishte një konfigurim i gabuar në numrat dhjetorë, por samczsun zbuloi:
“Sidoqoftë, pas disa gërmimeve manuale të dhimbshme në rrjetin e Moonbeam, unë konfirmova se ndërsa transaksioni i Moonbeam mbaroi 0.01 WBTC, në një farë mënyre transaksioni Ethereum u lidh në 100 WBTC”.
Ajo që e bën këtë shfrytëzim të ndryshëm është se transaksionet nuk u 'provuan' dhe nuk u ekzekutuan drejtpërdrejt. "Të jesh në gjendje të përpunosh një mesazh pa e provuar atë më parë është jashtëzakonisht jo mirë," tha samczsun. Koduesi bëri disa gërmime më shumë dhe gjeti një të metë fatale në kontratën inteligjente 'Replica' e inicializuar gjatë një përmirësimi rutinë Nomad.
Ai shtoi se kjo ishte kaotike sepse hajdutët e kriptove nuk kishin nevojë për ndonjë njohuri teknike. Ata thjesht duhej të gjenin një transaksion që funksiononte, të zëvendësonin adresën e synuar me të tyren dhe ta ritransmetonin atë.
“Një përmirësim rutinë e shënoi hash-in zero si një rrënjë të vlefshme, e cila kishte efektin e lejimit të mashtrimit të mesazheve në Nomad. Sulmuesit abuzuan me këtë për të kopjuar/ngjitur transaksionet dhe e mbaruan shpejt urën në një gjendje të furishme falas për të gjithë.”
TVL në zero
Nomad madje ka zbuluar adresa mashtruese që tentonin të vidhnin fondet e kthyera në urë.
Ne jemi në dijeni të imituesve që paraqiten si Nomad dhe ofrojnë adresa mashtruese për të mbledhur fonde. Ne nuk po japim ende udhëzime për të kthyer fondet e urës. Shpërfillni komentet nga të gjitha kanalet përveç kanalit zyrtar të Nomad: @nomadxyz_
— Nomad (⤭⛓?) (@nomadxyz_) Gusht 2, 2022
Sipas Defi Llama, Vlera totale e Nomad e bllokuar është rrëzuar nga 190.38 milionë dollarë në 5,336 dollarë gjatë orëve të fundit.
Nomad është sulmi më i fundit i urës simbolike këtë vit pas shfrytëzimeve të profilit të lartë të Urës Ronin, Wormhole, dhe Harmoni.
Binance Pa pagesë 100 dollarë (ekskluzive): Përdoreni këtë link për t'u regjistruar dhe për të marrë 100 dollarë tarifa falas dhe 10% ulje në muajin e parë të Binance Futures (Kushtet).
Oferta speciale PrimeXBT: Përdoreni këtë link për t'u regjistruar dhe futur kodin POTATO50 për të marrë deri në 7,000 dollarë në depozitat tuaja.
Burimi: https://cryptopotato.com/nomad-bridge-suffers-190m-loss-in-chaotic-copy-paste-attack/