雖然大多數加密黑客都是由孤狼造成的,但周一耗資 190 億美元的 Nomad 跨橋攻擊似乎是由數百名不良行為者的瘋狂餵食驅動的。
昨天,Nomad 的跨鏈橋在軟件更新暴露了一個允許任何人從橋中汲取資金的關鍵漏洞後,以 190 億美元的各種加密資產被黑客入侵。
該漏洞最初是由一名不知名的黑客於週一發現的,該黑客迅速竊取了近 95億美元,區塊鏈安全公司 PeckShield 今天告訴 The Block。 隨著最初利用的消息在加密界傳播,其他人爭先恐後地加入原始黑客的行列,為自己賺錢。
PeckShield 告訴 The Block,超過 300 個地址在一個小時內從 Nomad 那裡獲得了資金。 該公司估計,其中 41 人拿走了 152 億美元,相當於 Nomad 跨鏈橋被盜資金的 80%。
然而,並非所有人都是壞演員。 佩克盾的 分析 發現至少六個地址是白人黑客,這是道德黑客的名字,他們從橋上搶走了大約 8.2 萬美元。 預計他們將退還資金。
Nomad 是一個跨鏈橋,一個允許用戶在 Ethereum、Moonbeam、Evmos 和 Avalanche 之間移動 ERC-20 代幣的工具。 它是加密空間中可用的幾種橋接服務之一。
出了什麼問題
根據 PeckShield 的說法,該漏洞是由 Nomad 開發人員在智能合約更新期間引入的。 該錯誤來自開發人員錯誤地修改了橋的智能合約並在沒有適當審計的情況下部署了代碼。
“由於不正確的初始化導致零地址 (0x00) 被標記為受信任的根,因此 Nomad 橋黑客成為可能,這導致默認情況下每條消息都被證明是有效的,”PeckShield 說。
記號 0x00(也稱為 零地址) 受信任的根意外 關閉了智能合約檢查,確保僅對有效地址進行提款。
在 Nomad 的代碼中引入漏洞後,任何地址的提款請求默認都被認為是有效的。 這意味著任何人都可以根據需要從橋上提取資金。
該漏洞利用不需要智能合約的高級技術知識。 只需簡單地編輯黑客與 Etherscan 的交易,將目標地址替換為自己的地址,然後在 Nomad 橋上提出提款請求。
©2022 The Block Crypto,Inc.保留所有權利。 本文僅供參考。 不提供或不打算將其用作法律,稅務,投資,財務或其他建議。
資料來源:https://www.theblock.co/post/160851/nomads-190-million-bridge-exploit-drew-hacking-feeding-frenzy-of-300-addresses?utm_source=rss&utm_medium=rss