Home » Мостът за кръстосани вериги на Nomad претърпява масивна хакерска атака на стойност почти 200 млн. долара

Мостът за кръстосани вериги на Nomad претърпява масивна хакерска атака на стойност почти 200 млн. долара

by Thomas

Нова хакерска атака в света на крос-верижните мостове: Nomad пострада от експлоатирането на недостатък в своите интелигентни договори, в резултат на което бяха източени 190 милиона долара или почти цялата му обща блокирана стойност (TVL). Въпреки това някои хора използваха недостатъка, за да изтеглят възможно най-голяма част от средствата, за да ги защитят, като заявиха, че са готови да ги изпратят обратно възможно най-скоро.

Катастрофа за моста на веригата Nomad

През нощта беше използван масивен пробив, в резултат на който бяха източени над 190 милиона долара от моста на веригата Nomad, който обменя токени между Ethereum (ETH), Avalanche (AVAX), Moonbeam (GLMR), Milkomeda C1 и Evmos.

Почти всички средства са били източени от моста за миг, както показва тази графика от данните, налични в DefiLlama:

Обща блокирана стойност (TVL) на моста Nomad

Обща блокирана стойност (TVL) на моста Nomad


Според данните от веригата първата измамна трансакция е позволила на потребител на Bridge да изтегли 100 wBTC, които по това време са били на стойност 2,3 милиона долара. Постепенно стана известно, че недостатъкът позволява на всеки да изтегли една и съща сума пари многократно поради грешка в интелигентните договори.

За щастие, някои хора успяха да се измъкнат, като изтеглиха възможно най-много пари, преди да декларират, че са действали като „бял кахър“, за да защитят въпросните средства, и че ще ги върнат веднага щом бъде предоставен надежден адрес на местоназначение, както се вижда от тази транзакция.

Основа на експлойта

Според доклада на @samczsun, изследовател в Paradigm, недостатъкът е пряк резултат от актуализация на интелигентните договори на моста Nomad.

Когато даден токен се прехвърля чрез мост, той се заключва към интелигентен договор, преди да бъде преразпределен в опакована форма.

В този случай недостатъкът в интелигентния договор позволява на потребителите да изтеглят средства, които не им принадлежат. По много опростен начин грешка в кода на интелигентния договор позволява всички трансакции да бъдат потвърдени автоматично и да се повтарят в цикъл.

Ето защо този недостатък можеше да бъде използван много широко и най-вече от почти всеки, тъй като се изискваше много малко манипулация.

Това събитие е поредното напомняне за особената уязвимост на крос-верижните протоколи, които често са замесени в мащабни хакерски атаки, чиито последици се разпространяват механично сред други участници. Тук например екипът на Evmos blockchain посочи, че хакерската атака е повлияла значително на неговата TVL.

С над 190 млн. долара този пробив е петият по големина в историята на криптовалутите, веднага след пробива на Bitmart за 196 млн. долара през април 2021 г.

Related Posts

Leave a Comment