Nomad Bridge zhackowany na 190 mln dolarów | Wiadomości | CrypS.

Nomad Bridge zhackowany na 190 mln dolarów

Maciej Zerelik
hacker password key cryptocurrency

We wczesnych godzinach w dniu 2 sierpnia most Nomad ogłosił, że padł ofiarą hakerów. W ciągu kolejnych godzin, wydrenowane zostały wszystkie środki protokołu w kwocie ponad 190 milionów dolarów.


Deweloper i haker white hat o nicku „samczsun” wyjaśnił co się stało. Określił on atak jako „jeden z najbardziej chaotycznych hacków, jakie Web3 kiedykolwiek widziało”.

Nomad to most dla tokenów umożliwiający transfery cross-chain pomiędzy Ethereum, Avalanche, Milkomeda i Moonbeam.

Środki z Nomada wydrenowane

Badacze podzielili się tweetem na kanale Telegram
ETHSecurity pokazującym wiele transakcji funduszy opuszczających most. Na pierwszy rzut oka wydawało się, że jest to błędna konfiguracja w systemie dziesiętnym tokenów, ale samczsun odkrył:

Jednak po bolesnym ręcznym kopaniu w sieci Moonbeam potwierdziłem, że podczas gdy transakcja Moonbeam rzeczywiście pomostowała 0,01 WBTC, w jakiś sposób transakcja Ethereum pomostowała 100 WBTC.

To co odróżnia ten hack on innych to fakt, że transakcje nie zostały „udowodnione” i wykonane bezpośrednio. Samczun dodaje:

Możliwość przetworzenia wiadomości bez jej wcześniejszego udowodnienia jest wyjątkowo zła.

Koder poszperał trochę więcej i znalazł zgubną wadę w smart kontrakcie 'Replica’ zainicjowanym podczas rutynowej aktualizacji protokołu.

Dodał, że było to chaotyczne, ponieważ złodzieje kryptowalut nie potrzebowali żadnej wiedzy technicznej. Wystarczyło, że znaleźli transakcję, która działała, zastąpili adres docelowy swoim własnym i ponownie ją rozesłali.

Rutynowa aktualizacja oznaczyła zerowy hash jako ważny root, co miało wpływ na umożliwienie spoofingu wiadomości w Nomad. Atakujący nadużywali tego, aby kopiować/wklejać transakcje i szybko opróżnić most.

TVL spadła do zera

Nomad odkrył nawet fałszywe adresy próbujące ukraść środki zwrócone na most.

Według DefiLlama, całkowita wartość zablokowanego projektu spadła w ciągu kilku godzin z 190,38 mln dolarów do 5336 dolarów.

Nomad jest kolejnym już atakiem na most tokenów w tym roku. Wcześniej zhackowano już Ronin, Wormhole i Harmony.

hacker password key cryptocurrency
reklama
reklama

Dodaj komentarz

Ostrzeżenie o ryzyku Kryptowaluty oraz produkty lewarowe to bardzo ryzykowne istrumenty finansowe, mogące spowodować szybką utratę kapitału.

Materiały opublikowane na tej stronie mają jedynie cel informacyjny i nie należy ich traktować jako porady inwestycyjnej (rekomendacji) w rozumieniu przepisów ustawy z dnia 29 lipca 2005r. o obrocie instrumentami finansowymi. Nie są również doradztwem prawnym ani finansowym. Opracowania zamieszczone w serwisie Cryps.pl stanowią wyłącznie wyraz poglądów redakcji i użytkowników serwisu i nie powinny być interpretowane w inny sposób.

Niektóre artykuły opatrzone są odnośnikami do innych stron. Służy to uzupełnieniu przedstawionych informacji.
Niektóre jednak linki mają charakter afiliacyjny: prowadzą do oficjalnych stron producentów, na których można kupić opisywany produkt. Jeśli użytkownik dokona transakcji po kliknięciu w link, nasz serwis pobiera z tego tytułu prowizję. Nie wpływa to na finalną cenę produktu, a w niektórych przypadkach ją obniża. Portal CrypS.pl nie ponosi odpowiedzialności za treści, które znajdują się na podlinkowanych stronach.