Axie Infinity'тен берки эң кеңири хакерлердин биринде Ronin Bridge Sidechain март айында Nomad token көпүрөсүндөгү эксплуатация чабуулчуларга көпүрөнү болжол менен 190 миллион долларды тоноого мүмкүндүк берген.
Бул тууралуу PeckShield коопсуздук фирмасы билдирди чечмелөө уурдалган акча каражаты деп табылган Ethereum, USDC, DAI, FXS жана CQT.
«Биз Nomad жетон көпүрөсүнө байланыштуу окуядан кабардарбыз. Учурда биз иликтөө жүргүзүп жатабыз жана алар болгондо жаңыртууларды беребиз», - деди Nomad шопурлуктан Дүйшөмбү күнү түштөн кийин.
Nomad жетон көпүрөсүнө байланыштуу окуядан кабардарбыз. Учурда биз иликтөө жүргүзүп жатабыз жана алар болгондо жаңыртууларды беребиз.
Nomad bridge - бул колдонуучуларга санариптик активдерди ар кандай блокчейндердин ортосунда, анын ичинде жылдырууга мүмкүндүк берген протокол мөнгү (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 жана Moonbeam (GLMR).
Протоколдон каражат алынып салынгандыктан Nomad TVL кескин төмөндөдү. Сүрөт: DeFi Llama.
Nomad маалыматы аз болгону менен, кээ бирлери а акылдуу келишим Nomad мунун себеби катары билдирүүлөрдү иштеп чыгуу үчүн колдонот, бул Nomadдын ликвиддүүлүк пулунан миллиондогон акчаларды төгүүгө мүмкүндүк берет.
"Баары @officer_cia @spreekawayдын твиттерин ETHSecurity Telegram каналында бөлүшкөндө башталды", - деп жазды Paradigm крипто инвестициялык фирмасынын изилдөөчүсү Сэм Сан. "Ошол учурда мен эмне болуп жатканын билбесем да, көпүрөдөн чыгып кеткен активдердин көптүгү жаман белги болчу."
"Күнүмдүк жаңылоо учурунда экен", - деп улантты Сан. “Nomad командасы ишенимдүү тамырды 0x00 деп инициализациялады. Түшүнүктүү болуу үчүн, инициализация маанилери катары нөлдүк маанилерди колдонуу кеңири таралган практика. Тилекке каршы, бул учурда ар бир билдирүүнү автоматтык түрдө далилдөөнүн кичинекей терс таасири бар.
Көчмөндөрдүн көпүрөсүнө кол салуу "бардыгы үчүн эркин"
Сан "бардыгы үчүн ачууланган эркиндикке" окшоштурду, анткени эксплуатацияны колдонуу үчүн техникалык билим аз керек болчу.
"Сизге Solidity же Merkle Trees же ушуга окшогон нерселер жөнүндө билүүнүн кереги жок болчу" деп жазган Sun. "Сизге болгону иштеген транзакцияны таап, башка адамдын дарегин сиздикине таап/алмаштырып, анан кайра эфирге чыгарсаңыз болду."
Ошо сыяктуу эле, blockchain коопсуздук фирмасы certik билдиришкен чабуулчулар жөн гана транзакцияларды көчүрүү жана чаптоо аркылуу катаны колдонушу мүмкүн. Фирма адамдар жаңыртууну "хакердин транзакциясынын баштапкы маалыматтарын көчүрүү жана түпнуска даректи жеке дарекке алмаштыруу аркылуу" колдоно аларын кошумчалады.
?Nomad bridge hack түшүндүрүп жатасызбы ?
Бардык кредит @samczsun анын өлүмүнөн кийинки так аялуу диагнозун оор көтөргөн үчүн
Тарыхта 9 цифралуу көпүрөнүн биринчи борборлоштурулган элди талап-тоноону кантип алдык? pic.twitter.com/v5u6mrKQv1
Ошентип, көпүрөнүн дээрлик бардык каражаты суурулуп чыкты.
a16z коопсуздук инженери Мэтт Глисон: "Көчмөндөрдүн көпүрөсү Qubit's QBridge сыяктуу эле менчиктештирилди" деп жазды. “Көпүрөнүн кооптуу конфигурациясы жөнөтүлгөн транзакцияга уруксат берүү үчүн белгилүү бир жолду жаратты. Ката Репликанын "процесс" функциясынын ичинде."
1/ Nomad's көпүрөсү Qubit's QBridge сыяктуу эле менчикке ээ болгон. Көпүрөнүн кооптуу конфигурациясы жөнөтүлгөн транзакцияга уруксат берүү үчүн белгилүү бир жолду жаратты. Ката Репликанын "процесс" функциясынын ичинде.
"Система буга чейин эч качан көрбөгөн билдирүүлөрдү кабыл алат жана аны чыныгыдай иштетет, демек, көпүрөнүн бардык акчасын сурашыңыз керек жана аны аласыз", - деп кошумчалады ал.
FTC маалыматы боюнча, хакерлердин крипто долбоорлоруна каршы 1-жылдан бери 2021 миллиард доллардан ашуун крипто уурдалган.
Крипто жаңылыктарынан кабардар болуңуз, почтаңызга күн сайын жаңыртууларды алыңыз.
