Nomad Bridge er det seneste offer for uorganiseret Copy-Paste-angreb

Nomad Bridge er det seneste offer for et uorganiseret copy-paste-angreb, der skete på grund af en sårbarhed i Nomad-broen på tværs af kæder, der gjorde det muligt for adskillige ondsindede "copy/paste"-aktører at sifon fra protokollens sikkerhedsstillelse.

Nomad Bridge udgav en advarsel om, at den var opmærksom på en igangværende udnyttelse i de tidlige timer den 2. august. Hele budgettet på 190 millioner dollars til behandlingen blev brugt op i timerne efter.

White hat-udvikler og medlem af kryptofællesskabet 'samczsun' nedbrød hændelsesforløbet og gav en forklaring. Angrebet blev beskrevet af ham som "et af de mest uorganiserede hacks, som Web3 nogensinde har set."

1/ Nomad er lige blevet drænet for over $150 millioner i et af de mest kaotiske hacks, som Web3 nogensinde har set. Hvordan skete det præcist, og hvad var årsagen? Tillad mig at tage dig med bag kulisserne 👇 pic.twitter.com/Y7Q3fZ7ezm

- samczsun (@samczsun) August 1, 2022

Nomad er en token-bro for transaktioner på tværs af kæder mellem Ethereum, Avalanche, Milkomeda og Moonbeam.

Forskere fra Nomad Funds Drained postede et tweet på ETHSecurity Telegram-kanalen, der viste talrige pengetransaktioner, der forlod broen. Det så ud til at være en token decimal konfigurationsfejl i starten, men Samczsun fandt:

"Men efter nogle smertefulde manuel gravearbejde på Moonbeam-netværket, bekræftede jeg, at mens Moonbeam-transaktionen byggede bro over 0.01 WBTC, slog Ethereum-transaktionen på en eller anden måde bro med 100 WBTC."

Det faktum, at transaktionerne ikke blev "bevist" og udført umiddelbart adskiller denne udnyttelse fra andre. Det er virkelig dårligt at behandle oplysninger uden at bekræfte dem først, erklærede Samczsun. Yderligere undersøgelse fra programmøren afslørede en dødelig svaghed i "Replica" smart kontrakten, som var blevet startet under en normal Nomad-opgradering.

Han fortsatte med at sige, at det faktum, at krypto-tyvene manglede teknisk ekspertise, gjorde situationen ustabil. Alt, hvad de skulle gøre, var at finde en vellykket transaktion, udskifte måladressen med deres egen og sende den igen.

"En rutineopgradering markerede nul-hashen som en gyldig rod, hvilket havde den effekt, at beskeder blev forfalsket på Nomad. Angribere misbrugte dette til at kopiere/indsætte transaktioner og tømte hurtigt broen i en vanvittig fri for alle."

Selv falske adresser, der forsøgte at stjæle penge sendt tilbage til broen, er blevet fundet af Nomad.

Nomads hele låste værdi er faldet i løbet af de sidste par timer fra $190.38 millioner til $5,336 ifølge DefiLlama.

Efter de meget omtalte angreb på Ronin bro, Wormhole og Harmony, Nomad er det seneste offer og det seneste token-bro-angreb i år.

Læs seneste nyheder om kryptovaluta.