An engem vun den extensivsten Hacks zënter Axie Infinity's Ronin Bréck Sidechain am Mäerz, en Ausbeutung op der Nomad Token Bréck huet Ugräifer erlaabt d'Bréck vun ongeféier $ 190 Milliounen ze beréieren.
Sécherheet Firma PeckShield gesot Decrypt datt d'geklaut Fongen denominéiert goufen Ethereum, USDC, DAI, FXS, an CQT.
"Mir si bewosst iwwer den Tëschefall mat der Nomad Token Bréck. Mir ënnersichen de Moment a wäerten Updates ubidden wa mir se hunn ", Nomad twittert huet Méindeg Mëtteg.
Mir sinn bewosst iwwer den Tëschefall mat der Nomad Token Bréck. Mir sinn am Moment ënnersicht a wäerten Updates ubidden wa mir se hunn.
D'Nomad Bréck ass e Protokoll deen d'Benotzer erlaabt digital Verméigen tëscht verschiddene Blockchainen ze plënneren, inklusiv Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 a Moonbeam (GLMR).
Nomad TVL ass gefall wéi Fongen aus dem Protokoll opgehuewe goufen. Bild: DeFi Lama.
Wärend Detailer vum Nomad knapp sinn, hunn e puer op e Konfiguratiounsfehler an engem intelligenten Kontrakt déi Nomad benotzt fir Messagen als Ursaach ze verarbeiten, sou datt Millioune vum Nomad Liquiditéitspool entlooss ginn.
"Et huet alles ugefaang wéi @officer_cia dem @spreekaway säin Tweet am ETHSecurity Telegram Kanal gedeelt huet", huet de Sam Sun, Fuerscher bei der Krypto Investitiounsfirma Paradigm, tweeted. "Obwuel ech keng Ahnung hat wat deemools lass war, war just de grousse Volumen vun Verméigen, déi d'Bréck verlooss hunn, kloer e schlecht Zeechen."
"Et stellt sech eraus datt während engem Routine Upgrade,"Sonn weider. "D'Nomad Team huet déi vertrauenswürdeg Root initialiséiert fir 0x00 ze sinn. Fir kloer ze sinn, Nullwäerter als Initialiséierungswäerter ze benotzen ass eng allgemeng Praxis. Leider, an dësem Fall hat et e klengen Nebenwirkung fir all Message automatesch ze beweisen.
Nomad Bréck Attaque 'e frenzied free-for-all'
D'Sonn huet verglach mat deem wat nieft "e frenzied free-for-all" geschitt ass, well et wéineg technesch Wëssen gedauert huet fir den Ausbeutung ze profitéieren.
"Dir musst net iwwer Soliditéit oder Merkle Trees oder eppes wéi dat wëssen", huet d'Sun geschriwwen. "Alles wat Dir maache musst war eng Transaktioun ze fannen déi geschafft huet, d'Adress vun der anerer Persoun mat Ärer ze fannen / ersetzen, an se dann nei iwwerdroen."
Ähnlech blockchain Sécherheetsfirma Certic confirméiert datt Ugräifer kéinten de Feeler ausnotzen andeems se einfach Transaktiounen kopéieren a pechen. D'Firma huet bäigefüügt datt d'Leit d'Aktualiséierung ausnotzen kënnen "duerch d'Kopie vun den ursprénglechen Hacker Transaktiounsdaten an d'Original Adress duerch eng perséinlech ze ersetzen."
?D'Nomad Bréck Hack erklären?
All Kredit an @samczsun fir déi schwéier Erhiewung ze maachen fir déi präzis Schwachstelle bei senger Postmortem ze diagnostizéieren
Wéi hu mir déi éischt dezentraliséierter Volleksplotéierung vun enger 9-Figur Bréck an der Geschicht kritt? pic.twitter.com/v5u6mrKQv1
Op dës Manéier gouf d'Bréck vu bal all seng Fongen entlooss.
"D'Nomad's Bréck ass op eng ähnlech Manéier wéi dem Qubit's QBridge gehéiert," tweeted a16z Sécherheetsingenieur Matt Gleason. "Eng onsécher Konfiguratioun vun der Bréck huet e spezifesche Wee verursaacht fir all Transaktioun ze schécken. De Feeler ass an der Replica 'Prozess' Funktioun.
1/ Nomad d'Bréck krut op eng ähnlech Manéier ze Qubit d'QBridge Besëtz. Eng onsécher Konfiguratioun vun der Bréck huet e spezifesche Wee verursaacht fir all Transaktioun ze schécken. De Feeler ass an der Replica "Prozess" Funktioun.
"De System akzeptéiert all Message, deen hien ni virdru gesinn huet a veraarbecht et wéi wann et echt wier, dat heescht datt alles wat Dir maache musst ass fir all d'Sue vun der Bréck ze froen an Dir kritt et," huet hien derbäigesat.
Laut FTC, Cyberattacken géint Krypto-Projete schéngen keng Zeeche vu Verlängerung ze weisen, mat iwwer $1 Milliard u Krypto geklaut zënter 2021.
Bleift um Top vun der Krypto Neiegkeet, kritt alldeeglech Updates an Ärer Inbox.
