In einem der umfangreichsten Hacks seit Axie Infinity Ronin Bridge-Sidechain Im März ermöglichte ein Exploit auf der Nomad-Token-Bridge Angreifern, die Brücke um rund 190 Millionen Dollar zu stehlen.
Das teilte die Sicherheitsfirma PeckShield mit Entschlüsseln dass die gestohlenen Gelder denominiert waren Ethereum, USDC, DAI, FXS und CQT.
„Uns ist der Vorfall mit der Nomad Token Bridge bekannt. Wir untersuchen derzeit und werden Updates bereitstellen, sobald wir sie haben“, Nomad twitterte Montag Nachmittag.
Uns ist der Vorfall mit der Nomad Token Bridge bekannt. Wir untersuchen derzeit und werden Updates bereitstellen, sobald wir sie haben.
Die Nomad Bridge ist ein Protokoll, das es Benutzern ermöglicht, digitale Assets zwischen verschiedenen Blockchains zu verschieben, einschließlich Lawine (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 und Moonbeam (GLMR).
Nomad TVL stürzte ab, als Gelder aus dem Protokoll genommen wurden. Bild: DeFi Lama.
Während Details von Nomad rar sind, haben einige auf einen Konfigurationsfehler in a hingewiesen Smart-Vertrag die Nomad verwendet, um Nachrichten als Ursache zu verarbeiten, wodurch Millionen aus dem Liquiditätspool von Nomad abgezogen werden können.
„Alles begann, als @officer_cia den Tweet von @spreekaway im ETHSecurity Telegram-Kanal teilte“, twitterte Sam Sun, ein Forscher der Krypto-Investmentfirma Paradigm. „Obwohl ich zu diesem Zeitpunkt keine Ahnung hatte, was los war, war allein die schiere Menge an Vermögenswerten, die die Brücke verließen, eindeutig ein schlechtes Zeichen.“
„Es stellt sich heraus, dass dies während eines routinemäßigen Upgrades der Fall war“, fuhr Sun fort. „Das Nomad-Team hat den vertrauenswürdigen Stamm mit 0x00 initialisiert. Um es klarzustellen, die Verwendung von Nullwerten als Initialisierungswerte ist eine gängige Praxis. Leider hatte es in diesem Fall einen winzigen Nebeneffekt, jede Nachricht automatisch zu prüfen.“
Nomad-Brückenangriff „ein rasender Alleskönner“
Sun verglich das, was als nächstes geschah, mit „einem rasenden Free-for-all“, weil es wenig technisches Wissen erforderte, um den Exploit auszunutzen.
„Sie mussten nichts über Solidity oder Merkle Trees oder ähnliches wissen“, schrieb Sun. „Alles, was Sie tun mussten, war, eine Transaktion zu finden, die funktionierte, die Adresse der anderen Person zu finden/durch Ihre zu ersetzen und sie dann erneut zu übertragen.“
Ebenso die Blockchain-Sicherheitsfirma Certik Berichtet, dass Angreifer könnten den Fehler ausnutzen, indem sie einfach Transaktionen kopieren und einfügen. Die Firma fügte hinzu, dass Menschen das Upgrade ausnutzen könnten, „indem sie die Transaktionsanrufdaten des ursprünglichen Hackers kopieren und die ursprüngliche Adresse durch eine persönliche ersetzen“.
?Erläuterung des Nomad-Bridge-Hacks ?
Alle Kredite an @samczsun dafür, dass er die schwere Arbeit geleistet hat, die genaue Schwachstelle in seiner Obduktion zu diagnostizieren
Wie kam es zum ersten dezentralisierten Crowd-Looting einer 9-stelligen Brücke in der Geschichte? pic.twitter.com/v5u6mrKQv1
Auf diese Weise wurden der Brücke fast alle ihre Mittel entzogen.
„Die Brücke von Nomad wurde auf ähnliche Weise in Besitz genommen wie die QBridge von Qubit“, twitterte a16z-Sicherheitsingenieur Matt Gleason. „Eine unsichere Konfiguration der Brücke führte dazu, dass ein bestimmter Pfad jede gesendete Transaktion zuließ. Der Fehler liegt in der ‚Prozess‘-Funktion des Replikats.“
1/ Die Brücke von Nomad wurde auf ähnliche Weise in Besitz genommen wie die QBridge von Qubit. Eine unsichere Konfiguration der Brücke führte dazu, dass ein bestimmter Pfad jede gesendete Transaktion zuließ. Der Fehler liegt in der „Process“-Funktion des Replikats.
„Das System akzeptiert jede Nachricht, die es noch nie zuvor gesehen hat, und verarbeitet sie so, als wäre sie echt, was bedeutet, dass Sie nur um das gesamte Geld der Brücke bitten müssen, und Sie werden es bekommen“, fügte er hinzu.
Nach Angaben der FTC Cyber-Angriffe gegen Krypto-Projekte scheinen keine Anzeichen einer Verlangsamung zu zeigen, da seit 1 Krypto im Wert von über 2021 Milliarde US-Dollar gestohlen wurde.
Bleiben Sie über Krypto-News auf dem Laufenden und erhalten Sie tägliche Updates in Ihrem Posteingang.
