Эксплойт моста Nomad стоимостью $190 млн осуществлялся с 300 адресов

Эксплойт моста Nomad стоимостью $190 млн осуществлялся с 300 адресов

В то время как большинство крипто-взломов совершаются волками-одиночками, взлом кроссчейнового моста Nomad стоимостью 190 миллионов долларов, совершенный в понедельник, похоже, был вызван безумием сотен злоумышленников.

Вчера кроссчейн-мост Nomad был взломан на 190 миллионов долларов в виде различных криптоактивов после того, как обновление программного обеспечения выявило критическую уязвимость, которая позволяла любому вывести средства из моста.

Уязвимость была первоначально обнаружена в понедельник неизвестным хакером, который быстро украл почти 95 миллионов долларов, сообщила сегодня компания по безопасности блокчейнов PeckShield. Когда новость о первоначальном эксплойте распространилась в крипто-кругах, другие поспешили присоединиться к первоначальному хакеру, чтобы получить деньги для себя.

PeckShield сообщил, что более 300 адресов получили средства от Nomad в течение часа. По оценкам компании, 41 из них забрали 152 миллиона долларов, что эквивалентно 80% украденных средств из межсетевого моста Nomad.

Однако не все из них были плохими парнями. Анализ PeckShield обнаружил по крайней мере шесть адресов, принадлежащих белым хакерам — так называют этичных хакеров, которые украли около 8,2 миллиона долларов с моста. Ожидается, что они вернут средства.

Nomad — это межсетевой мост, инструмент, который позволяет пользователям перемещать токены ERC-20 между Ethereum, Moonbeam, Evmos и Avalanche. Это один из нескольких мостовых сервисов, доступных в криптоиндустрии.

Что пошло не так

По данным PeckShield, уязвимость была введена разработчиками Nomad во время обновления смарт-контракта. Ошибка возникла из-за того, что разработчики ошибочно изменили смарт-контракт моста и развернули код без надлежащего аудита.

«Взлом моста Nomad стал возможен из-за неправильной инициализации, в результате которой нулевой адрес (0x00) был помечен как доверенный корень, что привело к тому, что каждое сообщение было признано действительным по умолчанию», — сказал PeckShield.

Отметив 0x00 (также называемый нулевым адресом), доверенный корень случайно отключил проверку смарт-контракта, которая обеспечивала снятие средств только на действительные адреса.

После внедрения уязвимости в код Nomad запросы на вывод средств с любого адреса по умолчанию считались допустимыми. Это означало, что любой мог вывести средства с моста, если хотел.

Эксплойт не требовал глубоких технических знаний о смарт-контрактах. Все, что нужно было сделать, это просто отредактировать транзакцию хакера с Etherscan, заменить адрес назначения своим собственным адресом и сделать запрос на снятие средств на мосту Nomad.

Эксплойт моста Nomad стоимостью $190 млн осуществлялся с 300 адресов

Эксплойт моста Nomad стоимостью $190 млн осуществлялся с 300 адресов

Источник

Добавить комментарий

Ваш адрес email не будет опубликован.

Новости DeFi

USDC и Tether объявили о поддержке Ethereum proof-of-stake

Два крупнейших эмитента стейблкоинов — Tether и USDC — объявили, что они будут поддерживать цепочку Proof-of-Stake (PoS) Ethereum. В своем заявлении во вторник Tether заявил, что важно, чтобы экосистема Ethereum «не использовалась для создания путаницы и вреда внутри экосистемы» . Компания заявила, что «будет поддерживать PoS Ethereum в соответствии с официальным графиком». Tether заявил, что переход должен […]

Читать дальше
Новости DeFi

Reddit расширяет предложение траты баллов сообщества с помощью интеграции FTX Pay

Гигант социальных сетей Reddit сформировал партнерство с FTX Pay, чтобы позволить пользователям платить за газ по транзакциям с использованием поинтов сообщества, говорится в пресс-релизе во вторник. Интеграция также позволит пользователям Reddit покупать эфир непосредственно в приложении, чтобы оплатить сетевые сборы на разных блокчейнах. Запущенная в 2020 году, система баллов сообщества Reddit на основе блокчейна награждает пользователей в зависимости от качества их сообщений. […]

Читать дальше
Новости DeFi

Roblox декларирует $591,2 млн дохода за второй квартал, но количество заказов снизилось на 4%

Платформа для онлайн-игр и создания игр Roblox сообщила о доходах во втором квартале в размере 591,2 миллиона долларов, что на 30% больше, чем в прошлом году. Чистая денежная выручка от операционной деятельности составила 26,5 млн долларов США, а свободный денежный поток — 57,3 млн долларов США. Согласно данным Refinitiv, по сравнению со вторым кварталом 2021 […]

Читать дальше