Sementara sebagian besar peretasan crypto disebabkan oleh serigala tunggal, eksploitasi jembatan penyeberangan Nomad senilai $ 190 juta pada hari Senin tampaknya telah didorong oleh hiruk-pikuk makan ratusan aktor jahat.
Jembatan lintas rantai Nomad diretas seharga $ 190 juta dalam berbagai aset crypto kemarin setelah pembaruan perangkat lunak mengekspos kerentanan kritis yang memungkinkan siapa pun menguras dana dari jembatan.
Kerentanan itu awalnya ditemukan pada hari Senin oleh seorang peretas tak dikenal yang dengan cepat mencuri hampir $ 95 juta, perusahaan keamanan blockchain PeckShield mengatakan kepada The Block hari ini. Ketika berita tentang eksploitasi awal menyebar di kalangan crypto, yang lain bergegas bergabung dengan peretas asli untuk mengambil uang untuk diri mereka sendiri.
PeckShield mengatakan kepada The Block bahwa lebih dari 300 alamat telah mengambil dana dari Nomad selama satu jam. Perusahaan memperkirakan bahwa 41 dari mereka mengambil $ 152 juta, setara dengan 80% dari dana curian dari jembatan lintas rantai Nomad.
Namun, tidak semua dari mereka adalah aktor yang buruk. PeckShield's analisis menemukan setidaknya enam alamat yang merupakan peretas kulit putih, nama yang diberikan kepada peretas etis, yang meraih sekitar $8.2 juta dari jembatan. Mereka diharapkan mengembalikan dana tersebut.
Nomad adalah jembatan lintas rantai, alat yang memungkinkan pengguna memindahkan token ERC-20 di antara Ethereum, Moonbeam, Evmos, dan Avalanche. Ini adalah salah satu dari beberapa layanan jembatan yang tersedia di ruang crypto.
Apa yang salah
Menurut PeckShield, kerentanan itu diperkenalkan oleh pengembang Nomad selama pembaruan kontrak pintar. Bug berasal dari pengembang yang salah memodifikasi kontrak pintar jembatan dan menyebarkan kode tanpa audit yang tepat.
“Peretasan jembatan Nomad dimungkinkan karena inisialisasi yang tidak tepat yang mengarah ke alamat nol (0x00) ditandai sebagai root tepercaya, yang menyebabkan setiap pesan terbukti valid secara default,” kata PeckShield.
penilaian 0x00 (juga disebut sebagai alamat nol) root tepercaya secara tidak sengaja mematikan pemeriksaan kontrak cerdas yang memastikan penarikan dilakukan hanya ke alamat yang valid.
Setelah kerentanan diperkenalkan dalam kode Nomad, permintaan penarikan dari alamat mana pun dianggap valid secara default. Ini berarti bahwa siapa pun dapat menarik dana dari jembatan jika mereka mau.
Eksploitasi tidak memerlukan pengetahuan teknis lanjutan tentang kontrak pintar. Yang harus dilakukan hanyalah mengedit transaksi peretas dengan Etherscan, mengganti alamat tujuan dengan alamat mereka sendiri dan membuat permintaan penarikan di jembatan Nomad.
© 2022 The Block Crypto, Inc. Semua Hak Dilindungi Undang-Undang. Artikel ini disediakan hanya untuk tujuan informasi. Itu tidak ditawarkan atau dimaksudkan untuk digunakan sebagai nasihat hukum, pajak, investasi, keuangan, atau lainnya.
Sumber: https://www.theblock.co/post/160851/nomads-190-million-bridge-exploit-drew-hacking-feeding-frenzy-of-300-addresses?utm_source=rss&utm_medium=rss