In uno degli hack più estesi dai tempi di Axie Infinity Catena laterale del ponte Ronin a marzo, un exploit sul token bridge Nomad ha consentito agli aggressori di rapinare il bridge di circa 190 milioni di dollari.
Lo ha detto la società di sicurezza PeckShield decrypt in cui erano denominati i fondi rubati Ethereum, USDC, DAI, FXS e CQT.
“Siamo a conoscenza dell'incidente che ha coinvolto il ponte di token Nomad. Al momento stiamo indagando e forniremo aggiornamenti quando li avremo", Nomad tweeted Lunedì pomeriggio.
Siamo a conoscenza dell'incidente che ha coinvolto il ponte dei token Nomad. Stiamo attualmente esaminando e forniremo aggiornamenti quando li avremo.
Il ponte Nomad è un protocollo che consente agli utenti di spostare risorse digitali tra diverse blockchain, tra cui Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1 e Moonbeam (GLMR).
Nomad TVL è crollato quando i fondi sono stati ritirati dal protocollo. Immagine: DeFi Lama.
Sebbene i dettagli di Nomad siano scarsi, alcuni hanno indicato un errore di configurazione in a smart contract che Nomad utilizza per elaborare i messaggi come causa, consentendo a milioni di essere prosciugati dal pool di liquidità di Nomad.
"Tutto è iniziato quando @officer_cia ha condiviso il tweet di @spreekaway nel canale ETHSecurity Telegram", ha twittato Sam Sun, un ricercatore della società di investimento in criptovalute Paradigm. "Anche se non avevo idea di cosa stesse succedendo in quel momento, il semplice volume di risorse che lasciavano il ponte era chiaramente un brutto segno".
"Si scopre che durante un aggiornamento di routine", ha continuato Sun. “Il team di Nomad ha inizializzato la radice attendibile in modo che fosse 0x00. Per essere chiari, l'utilizzo di valori zero come valori di inizializzazione è una pratica comune. Sfortunatamente, in questo caso ha avuto un piccolo effetto collaterale di provare automaticamente ogni messaggio".
Attacco al ponte dei nomadi "un frenetico tutti contro tutti"
Sun ha paragonato quello che è successo dopo a "un frenetico tutti contro tutti" perché ci voleva poca conoscenza tecnica per sfruttare l'exploit.
"Non avevi bisogno di sapere di Solidity o Merkle Trees o qualcosa del genere", ha scritto Sun. "Tutto quello che dovevi fare era trovare una transazione che funzionasse, trovare/sostituire l'indirizzo dell'altra persona con il tuo e poi ritrasmetterlo."
Allo stesso modo, società di sicurezza blockchain Certik riportato che gli aggressori potrebbero sfruttare il bug semplicemente copiando e incollando le transazioni. L'azienda ha aggiunto che le persone potrebbero sfruttare l'aggiornamento "copiando i dati di chiamata della transazione dell'hacker originale e sostituendo l'indirizzo originale con uno personale".
?Spiegare l'hack del ponte Nomad?
Tutto merito a @samczsun per aver fatto il lavoro pesante di diagnosticare l'esatta vulnerabilità nella sua autopsia
Come abbiamo ottenuto il primo saccheggio di massa decentralizzato di un ponte a 9 cifre della storia? pic.twitter.com/v5u6mrKQv1
In questo modo, il ponte fu prosciugato di quasi tutti i suoi fondi.
"Il ponte di Nomad è stato posseduto in modo simile al QBridge di Qubit", ha twittato l'ingegnere della sicurezza di a16z Matt Gleason. “Una configurazione non sicura del bridge ha causato un percorso specifico per consentire qualsiasi transazione inviata. L'errore è all'interno della funzione "processo" della replica."
1/ Il ponte di Nomad è stato posseduto in modo simile al QBridge di Qubit. Una configurazione non sicura del bridge ha causato un percorso specifico per consentire qualsiasi transazione inviata. L'errore è all'interno della funzione "processo" della replica.
"Il sistema accetterà qualsiasi messaggio che non ha mai visto prima e lo elaborerà come se fosse genuino, il che significa che tutto ciò che devi fare è chiedere tutti i soldi del bridge e lo riceverai", ha aggiunto.
Secondo la FTC, attacchi informatici contro i progetti di criptovalute non sembrano mostrare segni di rallentamento, con oltre $ 1 miliardo di criptovalute rubate dal 2021.
Rimani aggiornato sulle notizie crittografiche, ricevi aggiornamenti quotidiani nella tua casella di posta.
