Tra bod y rhan fwyaf o haciau crypto yn cael eu hachosi gan fleiddiaid unigol, mae'n ymddangos bod ecsbloetio $190 miliwn dydd Llun o groesbont Nomad wedi'i ysgogi gan wyllt o gannoedd o actorion drwg.
Cafodd pont draws-gadwyn Nomad ei hacio am $190 miliwn mewn amrywiol asedau crypto ddoe ar ôl i ddiweddariad meddalwedd ddatgelu bregusrwydd critigol a oedd yn caniatáu i unrhyw un ddraenio arian o’r bont.
Darganfuwyd y bregusrwydd i ddechrau ddydd Llun gan haciwr anhysbys a ddwynodd bron yn gyflym $ 95 miliwn, Dywedodd cwmni diogelwch blockchain PeckShield wrth The Block heddiw. Wrth i'r newyddion am y camfanteisio cychwynnol ledaenu mewn cylchoedd crypto, rhuthrodd eraill i ymuno â'r haciwr gwreiddiol i gymryd arian drostynt eu hunain.
Dywedodd PeckShield wrth The Block fod mwy na 300 o gyfeiriadau wedi cymryd arian gan Nomad dros gyfnod o awr. Amcangyfrifodd y cwmni fod 41 ohonyn nhw wedi cymryd $152 miliwn, sy'n cyfateb i 80% o'r arian a gafodd ei ddwyn o bont trawsgadwyn Nomad.
Fodd bynnag, nid oedd pob un ohonynt yn actorion drwg. PeckShield's dadansoddiad dod o hyd i o leiaf chwe chyfeiriad a oedd yn hacwyr gwyn, enw a roddwyd i hacwyr moesegol, a gipiodd tua $8.2 miliwn o'r bont. Mae disgwyl iddyn nhw ddychwelyd yr arian.
Mae Nomad yn bont traws-gadwyn, offeryn sy'n caniatáu i ddefnyddwyr symud tocynnau ERC-20 ymhlith Ethereum, Moonbeam, Evmos ac Avalanche. Mae'n un o'r nifer o wasanaethau pontydd sydd ar gael yn y gofod crypto.
Beth aeth o'i le
Yn ôl PeckShield, cyflwynwyd y bregusrwydd gan ddatblygwyr Nomad yn ystod diweddariad contract smart. Daeth y nam gan y datblygwyr yn addasu contract smart y bont yn anghywir ac yn defnyddio'r cod heb archwiliad priodol.
“Mae darnia pont Nomad yn bosibl oherwydd cychwyniad amhriodol gan arwain at farcio’r cyfeiriad sero (0x00) fel gwraidd y gellir ymddiried ynddo, a arweiniodd at brofi bod pob neges yn ddilys yn ddiofyn,” meddai PeckShield.
marcio 0x00 (a elwir hefyd yn y cyfeiriad sero) y gwreiddyn ymddiried yn ddamweiniol diffodd gwiriad contract clyfar a oedd yn sicrhau bod tynnu arian yn cael ei wneud i gyfeiriadau dilys yn unig.
Ar ôl i'r bregusrwydd gael ei gyflwyno yng nghod Nomad, ystyriwyd bod ceisiadau tynnu'n ôl o unrhyw gyfeiriad yn ddilys yn ddiofyn. Roedd hyn yn golygu y gallai unrhyw un dynnu arian o'r bont pe dymunent.
Nid oedd angen gwybodaeth dechnegol uwch am gontractau smart ar gyfer y camfanteisio. Y cyfan yr oedd yn rhaid i un ei wneud oedd golygu trafodiad yr haciwr gydag Etherscan, disodli'r cyfeiriad cyrchfan gyda'u cyfeiriad eu hunain a gwneud y cais tynnu'n ôl ar bont Nomad.
© 2022 The Block Crypto, Inc. Cedwir pob hawl. Darperir yr erthygl hon at ddibenion gwybodaeth yn unig. Ni chynigir na bwriedir ei ddefnyddio fel cyngor cyfreithiol, treth, buddsoddiad, ariannol neu gyngor arall.
Ffynhonnell: https://www.theblock.co/post/160851/nomads-190-million-bridge-exploit-drew-hacking-feeding-frenzy-of-300-addresses?utm_source=rss&utm_medium=rss