Axie Infinity-ээс хойшхи хамгийн өргөн хүрээтэй хакеруудын нэг Ронин гүүрний хажуугийн гинж Гуравдугаар сард Nomad жетон гүүрэн дээр хийсэн ажиллагаа нь халдагчдад гүүрийг 190 сая доллар дээрэмдэх боломжийг олгосон юм.
Энэ тухай PeckShield хамгаалалтын фирм мэдээлэв Татаж авах Хулгайлсан мөнгө нь олсон байна Ethereum, USDC, DAI, FXS, болон CQT.
“Номад жетоны гүүртэй холбоотой хэргийн талаар бид мэдэж байгаа. Бид одоогоор шалгаж байгаа бөгөөд бэлэн болмогц мэдээлэл өгөх болно” гэж Номад хэлэв tweeted Даваа гарагийн үдээс хойш.
Nomad bridge нь хэрэглэгчдэд дижитал хөрөнгийг янз бүрийн блокчейн хооронд шилжүүлэх боломжийг олгодог протокол юм Ачаалал (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1, болон Moonbeam (GLMR).
Протоколоос хөрөнгө татан авснаар Nomad TVL огцом унав. Зураг: DeFi Лама.Nomad-ийн дэлгэрэнгүй мэдээлэл хомс ч зарим нь a-д тохиргооны алдаа гарсныг зааж өгсөн ухаалаг гэрээ Номад нь мессежийг шалтгаан болгон боловсруулахад ашигладаг бөгөөд энэ нь Номадын хөрвөх чадварын сангаас олон саяыг гадагшлуулах боломжийг олгодог.
Paradigm крипто хөрөнгө оруулалтын фирмийн судлаач Сэм Сун "@officer_cia ETHSecurity Telegram сувагт @spreekaway-ийн жиргээг хуваалцсанаас энэ бүхэн эхэлсэн" гэж жиргэжээ. "Хэдийгээр би тэр үед юу болоод байгааг мэдэхгүй байсан ч гүүрнээс гарч буй асар их хөрөнгө нь муу шинж тэмдэг байсан нь тодорхой."
"Ердийн шинэчлэлтийн үеэр болсон" гэж Сун үргэлжлүүлэн хэлэв. “Nomad баг итгэмжлэгдсэн язгуурыг 0x00 болгож эхлүүлсэн. Тодруулж хэлбэл, тэг утгыг эхлүүлэх утга болгон ашиглах нь нийтлэг практик юм. Харамсалтай нь энэ тохиолдолд мессеж бүрийг автоматаар нотлох сөрөг нөлөө үзүүлсэн."
Нүүдэлчдийн гүүрийн дайралт "бүх нийтийн эрх чөлөө"
Мөлжилтийг ашиглахын тулд техникийн бага мэдлэг шаардагддаг тул Сун "бүх нийтийн эрх чөлөө"-ийн хажууд юу болсныг зүйрлэсэн.
"Та Solidity, Merkle Trees эсвэл үүнтэй төстэй зүйлийн талаар мэдэх шаардлагагүй байсан" гэж Sun бичжээ. "Таны хийх ёстой зүйл бол үр дүнтэй гүйлгээг олж, нөгөө хүний хаягийг өөрийн хаягаар олж/солих, дараа нь дахин цацах явдал байв."
Үүнтэй адил блокчейн аюулгүй байдлын компани Сертик гэж мэдээлсэн Халдагчид гүйлгээг хуулж буулгах замаар алдааг ашиглаж болно. Хүмүүс "хакерын гүйлгээний дуудлагын анхны өгөгдлийг хуулж, анхны хаягийг хувийн хаягаар солих замаар" шинэчлэлтийг ашиглаж болно гэж пүүс нэмж хэлэв.
Ийм байдлаар гүүрний бараг бүх хөрөнгийг шавхсан.
a16z хамгаалалтын инженер Мэтт Глисон "Нүүдэлчдийн гүүр нь Кубитийн QBridge-тэй ижил төстэй байдлаар өмчилсөн" гэж твиттер хуудсандаа бичжээ. “Гүүрний найдвартай бус тохиргоо нь илгээсэн аливаа гүйлгээг зөвшөөрөх тодорхой замыг үүсгэсэн. Алдаа нь Replica-ийн "процесс" функц дотор байна."
"Систем нь урьд өмнө хэзээ ч харж байгаагүй аливаа мессежийг хүлээн авч, жинхэнэ юм шиг боловсруулах болно. Энэ нь таны хийх ёстой зүйл бол гүүрний бүх мөнгийг гуйхад л хангалттай" гэж тэр нэмж хэлэв.
FTC-ийн мэдээлснээр, кибер халдлага 1 оноос хойш 2021 тэрбум гаруй долларын крипто хулгайлагдсан байна.
Крипто мэдээний дээд талд байгаарай, ирсэн имэйл хайрцагтаа өдөр бүр шинэчлэлтүүдийг аваарай.
Эх сурвалж: https://decrypt.co/106459/crypto-bridge-nomad-exploited-190m-frenzied-free-for-all
