虽然大多数加密黑客都是由孤狼造成的,但周一耗资 190 亿美元的 Nomad 跨桥攻击似乎是由数百名不良行为者的疯狂喂食驱动的。
昨天,Nomad 的跨链桥在软件更新暴露了一个允许任何人从桥中汲取资金的关键漏洞后,以 190 亿美元的各种加密资产被黑客入侵。
该漏洞最初是由一名不知名的黑客于周一发现的,该黑客迅速窃取了近 95 百万美元,区块链安全公司 PeckShield 今天告诉 The Block。 随着最初利用的消息在加密界传播,其他人争先恐后地加入原始黑客的行列,为自己赚钱。
PeckShield 告诉 The Block,超过 300 个地址在一个小时内从 Nomad 那里获得了资金。 该公司估计,其中 41 人拿走了 152 亿美元,相当于 Nomad 跨链桥被盗资金的 80%。
然而,并非所有人都是坏演员。 佩克盾的 分析 发现至少六个地址是白人黑客,这是道德黑客的名字,他们从桥上抢走了大约 8.2 万美元。 预计他们将退还资金。
Nomad 是一个跨链桥,一个允许用户在 Ethereum、Moonbeam、Evmos 和 Avalanche 之间移动 ERC-20 代币的工具。 它是加密空间中可用的几种桥接服务之一。
什么地方出了错
根据 PeckShield 的说法,该漏洞是由 Nomad 开发人员在智能合约更新期间引入的。 该错误来自开发人员错误地修改了桥的智能合约并在没有适当审计的情况下部署了代码。
“由于不正确的初始化导致零地址 (0x00) 被标记为受信任的根,因此 Nomad 桥黑客成为可能,这导致默认情况下每条消息都被证明是有效的,”PeckShield 说。
记号 0x00(也称为 零地址) 受信任的根意外 关闭了智能合约检查,确保仅对有效地址进行提款。
在 Nomad 的代码中引入漏洞后,任何地址的提款请求默认都被认为是有效的。 这意味着任何人都可以根据需要从桥上提取资金。
该漏洞利用不需要智能合约的高级技术知识。 只需简单地编辑黑客与 Etherscan 的交易,将目标地址替换为自己的地址,然后在 Nomad 桥上提出提款请求。
©2022 The Block Crypto,Inc.保留所有权利。 本文仅供参考。 不提供或不打算将其用作法律,税务,投资,财务或其他建议。
资料来源:https://www.theblock.co/post/160851/nomads-190-million-bridge-exploit-drew-hacking-feeding-frenzy-of-300-addresses?utm_source=rss&utm_medium=rss