ניצול הגשר של נומאד בשווי 190 מיליון דולר גרר פריצות הזנה של 300 כתובות

בעוד שרוב פריצות הקריפטו נגרמות על ידי זאבים בודדים, נראה שהניצול בסך 190 מיליון דולר של הגשר צולב Nomad הונע על ידי טירוף הזנה של מאות שחקנים רעים. 

הגשר חוצה השרשרת של Nomad נפרץ אתמול תמורת 190 מיליון דולר בנכסי קריפטו שונים לאחר שעדכון תוכנה חשף פגיעות קריטית שאפשרה לכל אחד לרוקן כספים מהגשר. 

הפגיעות התגלתה תחילה ביום שני על ידי האקר לא ידוע שגנב במהירות כמעט $ 95 מיליון, חברת אבטחת הבלוקצ'יין PeckShield אמרה היום ל-The Block. כשהחדשות על הניצול הראשוני התפשטו במעגלי קריפטו, אחרים מיהרו להצטרף להאקר המקורי כדי לקחת כסף לעצמם. 

PeckShield אמר ל-The Block שיותר מ-300 כתובות לקחו כספים מנומד במהלך שעה. החברה העריכה כי 41 מהם לקחו 152 מיליון דולר, שווה ערך ל-80% מהכספים הגנובים מהגשר הצולב של נומד.

עם זאת, לא כולם היו שחקנים גרועים. של PeckShield אנליזה מצאו לפחות שש כתובות שהיו האקרים לבנים, שם שניתן להאקרים אתיים, שתפסו כ-8.2 מיליון דולר מהגשר. הם צפויים להחזיר את הכספים.

Nomad הוא גשר חוצה שרשרת, כלי המאפשר למשתמשים להעביר אסימוני ERC-20 בין Ethereum, Moonbeam, Evmos ו-Avalanche. זהו אחד ממספר שירותי הגשר הזמינים במרחב הקריפטו.

מה השתבש

לפי PeckShield, הפגיעות הוצגה על ידי מפתחי Nomad במהלך עדכון חוזה חכם. הבאג הגיע מהמפתחים ששינו בטעות את החוזה החכם של הגשר ופרסו את הקוד ללא ביקורת מתאימה.

"פריצת הגשר של Nomad מתאפשרת עקב אתחול לא תקין המוביל לסימון כתובת האפס (0x00) כשורש מהימן, מה שהוביל לכך שכל הודעה הוכחה כתקינה כברירת מחדל", אמר PeckShield. 

צִיוּן 0x00 (נקרא גם בשם כתובת אפס) השורש המהימן בטעות כיבה בדיקת חוזה חכמה שהבטיחה שהמשיכות בוצעו לכתובות תקפות בלבד.

לאחר הצגת הפגיעות בקוד של Nomad, בקשות משיכה מכל כתובת נחשבו כתקפות כברירת מחדל. משמעות הדבר היא שכל אחד יכול למשוך כספים מהגשר אם ירצה.

הניצול לא דרש ידע טכני מתקדם בחוזים חכמים. כל מה שהיה צריך לעשות זה פשוט לערוך את העסקה של ההאקר עם Etherscan, להחליף את כתובת היעד בכתובת שלהם ולבצע את בקשת המשיכה על גשר Nomad. 

© 2022 The Crypto Block, Inc. כל הזכויות שמורות. מאמר זה מסופק למטרות מידע בלבד. הוא לא מוצע או מיועד לשמש כייעוץ משפטי, מס, השקעה, פיננסי או אחר.