Sa isa sa pinakamalawak na hack mula noong Axie Infinity's Ronin Bridge Sidechain noong Marso, ang pagsasamantala sa Nomad token bridge ay nagbigay-daan sa mga umaatake na looban ang tulay ng humigit-kumulang $190 milyon.
Sinabi ng security firm na PeckShield I-decrypt na ang mga pondong ninakaw ay denominasyon Ethereum, USDC, DAI, FXS, at CQT.
"Alam namin ang insidente na kinasasangkutan ng Nomad token bridge. Kasalukuyan kaming nag-iimbestiga at magbibigay ng mga update kapag mayroon na kami," Nomad tweeted Lunes ng hapon.
Alam namin ang insidente na kinasasangkutan ng Nomad token bridge. Kasalukuyan kaming nag-iimbestiga at magbibigay ng mga update kapag mayroon na kami.
Ang Nomad bridge ay isang protocol na nagpapahintulot sa mga user na ilipat ang mga digital asset sa pagitan ng iba't ibang blockchain, kasama na Pagguho ng yelo (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1, at Moonbeam (GLMR).
Bumagsak ang Nomad TVL habang inalis ang mga pondo mula sa protocol. Larawan: DeFi Llama.
Bagama't kakaunti ang mga detalye mula sa Nomad, itinuro ng ilan ang isang error sa pagsasaayos sa a matalinong kontrata na ginagamit ng Nomad upang iproseso ang mga mensahe bilang dahilan, na nagbibigay-daan sa milyun-milyong maubos mula sa liquidity pool ng Nomad.
"Nagsimula ang lahat noong ibinahagi ni @officer_cia ang tweet ni @spreekaway sa ETHSecurity Telegram channel," nag-tweet si Sam Sun, isang researcher sa crypto investment firm na Paradigm. "Bagaman wala akong ideya kung ano ang nangyayari sa oras na iyon, ang dami lamang ng mga asset na umaalis sa tulay ay malinaw na isang masamang palatandaan."
"Lumalabas na sa isang regular na pag-upgrade," patuloy ni Sun. “Inisyal ng Nomad team ang pinagkakatiwalaang ugat na 0x00. Upang maging malinaw, ang paggamit ng mga zero na halaga bilang mga halaga ng pagsisimula ay isang karaniwang kasanayan. Sa kasamaang palad, sa kasong ito, mayroon itong maliit na epekto ng awtomatikong pagpapatunay sa bawat mensahe."
Pag-atake ng nomad bridge 'isang baliw na free-for-all'
Inihalintulad ni Sun ang sumunod na nangyari sa "isang frenzied free-for-all" dahil kailangan lang ng kaunting teknikal na kaalaman upang magamit ang pagsasamantala.
"Hindi mo kailangang malaman ang tungkol sa Solidity o Merkle Trees o anumang bagay na katulad niyan," isinulat ni Sun. "Ang kailangan mo lang gawin ay maghanap ng isang transaksyon na gumana, hanapin/palitan ang address ng ibang tao sa iyo, at pagkatapos ay muling i-broadcast ito."
Katulad nito, blockchain security firm Sertik naiulat na maaaring samantalahin ng mga umaatake ang bug sa pamamagitan lamang ng pagkopya at pag-paste ng mga transaksyon. Idinagdag ng kumpanya na maaaring samantalahin ng mga tao ang pag-upgrade "sa pamamagitan ng pagkopya sa calldata ng transaksyon ng orihinal na hacker at pagpapalit ng orihinal na address ng isang personal."
? Pagpapaliwanag sa Nomad bridge hack ?
All credit to @samczsun para sa paggawa ng mabigat na pag-aangat ng pag-diagnose ng tumpak na kahinaan sa kanyang postmortem
Paano natin nakuha ang unang desentralisadong crowd-looting ng 9-figure bridge sa kasaysayan? pic.twitter.com/v5u6mrKQv1
Sa ganitong paraan, ang tulay ay naubos ang halos lahat ng pondo nito.
"Ang tulay ng Nomad ay pagmamay-ari sa katulad na paraan sa QBridge ni Qubit," tweet ng a16z security engineer na si Matt Gleason. "Ang isang hindi secure na configuration ng tulay ay nagdulot ng isang partikular na landas upang payagan ang anumang transaksyon na ipinadala. Ang error ay nasa loob ng function na 'proseso' ng Replica."
1/ Ang tulay ng Nomad ay pagmamay-ari sa katulad na paraan sa QBridge ni Qubit. Ang isang hindi secure na configuration ng tulay ay nagdulot ng isang partikular na landas upang payagan ang anumang transaksyon na maipadala. Ang error ay nasa loob ng function na "proseso" ng Replica.
"Tatanggapin ng system ang anumang mensahe na hindi pa nito nakita at ipoproseso ito na parang ito ay tunay, ibig sabihin ang kailangan mo lang gawin ay hilingin ang lahat ng pera ng tulay at makukuha mo ito," dagdag niya.
Ayon sa FTC, cyberattacks laban sa mga proyekto ng crypto ay lumilitaw na walang palatandaan ng pagbagal, na may higit sa $1 bilyon sa crypto na ninakaw mula noong 2021.
Manatili sa balita sa crypto, makakuha ng mga pang-araw-araw na update sa iyong inbox.
