Թեև կրիպտո հաքերների մեծ մասը պայմանավորված են միայնակ գայլերով, երկուշաբթի օրը Nomad-ի խաչմերուկի 190 միլիոն դոլար արժողությամբ շահագործումը, ըստ երևույթին, պայմանավորված է հարյուրավոր վատ դերասանների կերակրման մոլեգնությամբ:
Նախօրեին Nomad-ի խաչաձեւ շղթայական կամուրջը կոտրել էին 190 միլիոն դոլարի տարբեր կրիպտո ակտիվներ այն բանից հետո, երբ ծրագրային ապահովման թարմացումը բացահայտեց կրիտիկական խոցելիությունը, որը թույլ էր տալիս ցանկացածին կամուրջից միջոցներ հանել:
Խոցելիությունը սկզբնապես հայտնաբերվել է երկուշաբթի օրը անհայտ հաքերների կողմից, ով արագորեն գողացել է գրեթե $ 95 միլիոնԱյսօր The Block-ին ասել է PeckShield-ի բլոկչեյն անվտանգության ֆիրման: Երբ սկզբնական շահագործման մասին լուրը տարածվեց կրիպտո շրջանակներում, մյուսները շտապեցին միանալ սկզբնական հաքերին՝ իրենց համար գումար վերցնելու համար:
PeckShield-ը The Block-ին ասել է, որ ավելի քան 300 հասցեներ Nomad-ից միջոցներ են վերցրել մեկ ժամվա ընթացքում: Ընկերությունը հաշվարկել է, որ նրանցից 41-ը վերցրել է 152 միլիոն դոլար, որը համարժեք է Nomad-ի խաչմերուկային կամրջից գողացված միջոցների 80%-ին:
Սակայն ոչ բոլորն էին վատ դերասաններ։ PeckShield-ը վերլուծություն հայտնաբերել են առնվազն վեց հասցեներ, որոնք սպիտակ հաքերներ են, անուն էթիկ հաքերներին, որոնք կամրջից գողացել են մոտ 8.2 միլիոն դոլար: Սպասվում է, որ նրանք կվերադարձնեն միջոցները։
Nomad-ը խաչաձեւ շղթայական կամուրջ է, գործիք, որը թույլ է տալիս օգտվողներին տեղափոխել ERC-20 նշանները Ethereum-ի, Moonbeam-ի, Evmos-ի և Avalanche-ի միջև: Այն կրիպտո տարածության մեջ հասանելի մի քանի կամուրջ ծառայություններից մեկն է:
Ինչը սխալ գնաց
Ըստ PeckShield-ի, խոցելիությունը ներկայացվել է Nomad-ի ծրագրավորողների կողմից՝ խելացի պայմանագրի թարմացման ժամանակ: Սխալը ծագել է այն բանից, որ մշակողները սխալմամբ փոփոխել են կամրջի խելացի պայմանագիրը և տեղադրել կոդը՝ առանց համապատասխան աուդիտի:
«Nomad bridge-ի կոտրումը հնարավոր է դարձել սխալ սկզբնավորման պատճառով, որը հանգեցրել է նրան, որ զրոյական հասցեն (0x00) նշվում է որպես վստահելի արմատ, ինչը հանգեցրել է նրան, որ յուրաքանչյուր հաղորդագրություն լռելյայն վավեր է», - ասում է PeckShield-ը:
Նշում 0x00 (նաև կոչվում է զրոյական հասցե) վստահելի արմատը պատահաբար անջատել է խելացի պայմանագրի ստուգումը, որը երաշխավորում է, որ դուրսբերումները կատարվել են միայն վավեր հասցեներով:
Nomad-ի կոդում խոցելիության ներդրումից հետո ցանկացած հասցեից դուրսբերման հարցումները համարվում էին լռելյայն վավեր: Սա նշանակում էր, որ ցանկացած մարդ, եթե ցանկանա, կարող է կամուրջից միջոցներ հանել:
Շահագործումը չի պահանջում խելացի պայմանագրերի առաջադեմ տեխնիկական գիտելիքներ: Մնում էր պարզապես խմբագրել հաքերի գործարքը Etherscan-ով, փոխարինել նպատակակետի հասցեն սեփական հասցեով և կատարել դուրսբերման հարցում Nomad կամրջի վրա:
© 2022 The Block Crypto, Inc. Բոլոր իրավունքները պաշտպանված են: Այս հոդվածը տրամադրվում է միայն տեղեկատվական նպատակներով: Այն չի առաջարկվում կամ նախատեսված չէ օգտագործել որպես օրինական, հարկային, ներդրումային, ֆինանսական կամ այլ խորհրդատվություն:
Աղբյուր՝ https://www.theblock.co/post/160851/nomads-190-million-bridge-exploit-drew-hacking-feeding-frenzy-of-300-addresses?utm_source=rss&utm_medium=rss