หนึ่งในการแฮ็กที่ครอบคลุมมากที่สุดตั้งแต่ Axie Infinity's สะพานโรนิน ไซด์เชน ในเดือนมีนาคม การใช้ประโยชน์จากสะพานโทเค็น Nomad ทำให้ผู้โจมตีสามารถปล้นสะพานได้ประมาณ 190 ล้านดอลลาร์
บริษัทรักษาความปลอดภัย PeckShield บอก ถอดรหัส ว่าเงินที่ถูกขโมยไปนั้นถูกระบุใน Ethereum, USDC, DAI, FXS และ CQT
“เราทราบเหตุการณ์ที่เกี่ยวข้องกับสะพานโทเค็น Nomad แล้ว ขณะนี้เรากำลังตรวจสอบและจะแจ้งข้อมูลอัปเดตเมื่อเรามี” Nomad ทวีต บ่ายวันจันทร์.
Nomad bridge เป็นโปรโตคอลที่อนุญาตให้ผู้ใช้ย้ายสินทรัพย์ดิจิทัลระหว่างบล็อกเชนต่างๆ ซึ่งรวมถึง หิมะถล่ม (เอแว็กซ์) Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 และ Moonbeam (GLMR)
ในขณะที่รายละเอียดจาก Nomad นั้นหายาก แต่บางคนก็ชี้ไปที่ข้อผิดพลาดในการกำหนดค่า a สัญญาสมาร์ท ที่ Nomad ใช้ในการประมวลผลข้อความเป็นสาเหตุทำให้สามารถระบายออกจากแหล่งสภาพคล่องของ Nomad ได้หลายล้าน
“ทุกอย่างเริ่มต้นเมื่อ @officer_cia แชร์ทวีตของ @spreekaway ในช่อง ETHSecurity Telegram” Sam Sun นักวิจัยจาก Paradigm บริษัทการลงทุนคริปโตทวีต “แม้ว่าฉันจะไม่รู้ว่าเกิดอะไรขึ้นในขณะนั้น แต่ปริมาณทรัพย์สินจำนวนมากที่ออกจากสะพานนั้นเป็นสัญญาณที่ไม่ดีอย่างชัดเจน”
“ปรากฎว่าระหว่างการอัพเกรดตามปกติ” ซันกล่าวต่อ “ทีม Nomad เริ่มต้นการรูทที่เชื่อถือได้เป็น 0x00 เพื่อความชัดเจน การใช้ค่าศูนย์เป็นค่าเริ่มต้นคือแนวทางปฏิบัติทั่วไป น่าเสียดายที่ในกรณีนี้ มันมีผลข้างเคียงเล็กน้อยในการพิสูจน์ทุกข้อความโดยอัตโนมัติ”
การโจมตีสะพาน Nomad 'บ้าคลั่งสำหรับทุกคน'
ซันเปรียบสิ่งที่เกิดขึ้นถัดจาก "คนที่คลั่งไคล้อิสระสำหรับทุกคน" เพราะต้องใช้ความรู้ด้านเทคนิคเพียงเล็กน้อยเพื่อใช้ประโยชน์จากการหาประโยชน์
“คุณไม่จำเป็นต้องรู้เกี่ยวกับ Solidity หรือ Merkle Trees หรืออะไรทำนองนั้น” Sun เขียน “สิ่งที่คุณต้องทำคือค้นหาธุรกรรมที่ได้ผล ค้นหา/แทนที่ที่อยู่ของบุคคลอื่นด้วยที่อยู่ของคุณ จากนั้นจึงเผยแพร่อีกครั้ง”
ในทำนองเดียวกัน บริษัทรักษาความปลอดภัยบล็อคเชน เซอร์ติก รายงานว่า ผู้โจมตีสามารถใช้ประโยชน์จากบั๊กได้โดยเพียงแค่คัดลอกและวางธุรกรรม บริษัทเสริมว่าผู้คนสามารถใช้ประโยชน์จากการอัพเกรดได้ “โดยการคัดลอกข้อมูลธุรกรรมของแฮ็กเกอร์ดั้งเดิมและแทนที่ที่อยู่เดิมด้วยที่อยู่ส่วนตัว”
ด้วยวิธีนี้ สะพานจึงสูญเสียเงินทุนเกือบทั้งหมด
“สะพานของ Nomad เป็นเจ้าของในลักษณะเดียวกับ QBridge ของ Qubit” Matt Gleason วิศวกรความปลอดภัย a16z ทวีต “การกำหนดค่าที่ไม่ปลอดภัยของบริดจ์ทำให้เกิดเส้นทางเฉพาะเพื่ออนุญาตให้ส่งธุรกรรมใดๆ ข้อผิดพลาดอยู่ภายในฟังก์ชัน 'กระบวนการ' ของแบบจำลอง”
“ระบบจะยอมรับข้อความใด ๆ ที่ไม่เคยเห็นมาก่อนและประมวลผลราวกับว่ามันเป็นของแท้ หมายความว่าสิ่งที่คุณต้องทำคือขอเงินทั้งหมดจากสะพานและคุณจะได้รับมัน” เขากล่าวเสริม
ตามที่ กทช. cyberattacks เมื่อเทียบกับโครงการ crypto ดูเหมือนจะไม่มีสัญญาณของการชะลอตัว โดยมีการขโมย crypto มากกว่า 1 พันล้านดอลลาร์ตั้งแต่ปี 2021
ติดตามข่าวสาร crypto รับการอัปเดตทุกวันในกล่องจดหมายของคุณ
ที่มา: https://decrypt.co/106459/crypto-bridge-nomad-exploited-190m-frenzied-free-for-all