در ساعات اولیه روز 2 آگوست، پل نومد هشداری مبنی بر اینکه از یک سوء استفاده در جریان است مطلع شد. در ساعات بعد، کل وجوه بیش از 190 میلیون دلاری پروتکل تخلیه شد.
توسعه دهنده جامعه کریپتو و کلاه سفید 'samczsun' زنجیره رویدادها را شکست و توضیح داد که چه اتفاقی افتاده است. او این حمله را «یکی از آشفتهترین هکهایی که Web3 تا به حال دیده است» نامید.
1/ Nomad بیش از 150 میلیون دلار در یکی از آشفتهترین هکهایی که Web3 تا به حال دیده است، تخلیه شد. دقیقاً چگونه این اتفاق افتاد و علت اصلی آن چه بود؟ اجازه می دهید شما را به پشت صحنه ببرم؟ pic.twitter.com/Y7Q3fZ7ezm
- samczsun (samczsun) اوت 1، 2022
Nomad یک پل نمادین برای نقل و انتقالات زنجیره ای است Ethereum، بهمن، میلکومدا، و پرتو ماه.
بودجه عشایر تخلیه شد
محققان توییتی را در کانال تلگرام ETHSecurity به اشتراک گذاشتند که در آن چندین تراکنش وجوه در حال خروج از پل نشان داده شد. در نگاه اول، به نظر میرسید که این یک پیکربندی اشتباه در اعشار نشانه باشد، اما samczsun کشف کرد:
با این حال، پس از حفاری دستی دردناک در شبکه Moonbeam، تأیید کردم که در حالی که تراکنش Moonbeam 0.01 WBTC را از بین برد، به نحوی تراکنش اتریوم در 100 WBTC پل شد.
چیزی که این اکسپلویت را متفاوت می کند این است که تراکنش ها به طور مستقیم «اثبات» و اجرا نشدند. samczsun گفت: "توانایی پردازش یک پیام بدون اثبات اول آن بسیار خوب نیست." کدگذار کمی حفاری انجام داد و یک نقص مهلک در قرارداد هوشمند «Replica» پیدا کرد که در طی یک ارتقای معمول Nomad تنظیم شده بود.
او اضافه کرد که این هرج و مرج بود زیرا سارقان رمزارز به هیچ دانش فنی نیاز نداشتند. آنها فقط باید تراکنشی را پیدا کنند که کار کند، آدرس مورد نظر را با آدرس خود جایگزین کرده و آن را دوباره پخش کنند.
«یک ارتقاء معمولی، هش صفر را به عنوان یک ریشه معتبر علامتگذاری میکند، که باعث میشود پیامها در Nomad جعل شوند. مهاجمان از این برای کپی/پیست کردن تراکنشها سوء استفاده کردند و به سرعت پل را در حالتی دیوانهوار و رایگان برای همه تخلیه کردند.
TVL به صفر
Nomad حتی آدرس های تقلبی را کشف کرده است که سعی در سرقت وجوه برگشت داده شده به پل داشتند.
ما از جعلهایی که بهعنوان Nomad ظاهر میشوند و آدرسهای جعلی برای جمعآوری وجوه ارائه میکنند، اطلاع داریم. ما هنوز دستورالعملی برای بازگرداندن وجوه پل ارائه نمی دهیم. نادیده گرفتن کام های همه کانال ها به جز کانال رسمی Nomad: @nomadxyz_
— عشایر (⤭⛓؟) (@nomadxyz_) اوت 2، 2022
مطابق با دفی لاما، ارزش کل Nomad قفل شده از 190.38 میلیون دلار به 5,336 دلار در چند ساعت گذشته سقوط کرده است.
Nomad آخرین حمله به پل نمادین در سال جاری است که پس از سوء استفاده های برجسته از پل رونین، کرم چاله و هارمونی.
100 دلار رایگان بایننس (انحصاری): از این لینک استفاده کنید برای ثبت نام و دریافت 100 دلار هزینه رایگان و 10 درصد تخفیف در ماه اول Binance Futures (قوانین و مقررات).
پیشنهاد ویژه PrimeXBT: از این لینک استفاده کنید برای ثبت نام و وارد کردن کد POTATO50 تا سقف 7,000 دلار در سپرده های خود دریافت کنید.
منبع: https://cryptopotato.com/nomad-bridge-suffers-190m-loss-in-chaotic-copy-paste-attack/