پل زنجیره ای متقاطع پل نومد هدف اصلی هکرها و ... غارتگران شد و خدا می داند چه چیز دیگری...
Nomad Bridge، پروتکلی که تعامل بین بلاک چین های مختلف را امکان پذیر می کند، این هفته هک شد. هکرها از این آسیب پذیری ها سوء استفاده کردند پل و بیش از 190 میلیون دلار دارایی سرقت کردند.
دارایی های تحت تاثیر این حادثه عبارتند از WBTC، WETH، USDC، FRAX، CQT، HBOT، IAG، DAI، GERO، CARDS، SDL و C3. Nomad نام بعدی است که پس از Axie Infinity و Horizon به لیست پل های بدشانس تحت حملات بزرگ می پیوندد.
پل عشایر مورد اصابت قرار گرفت - به شکلی بزرگ
اولین تراکنش مشکوک در 2 آگوست انجام شد، زمانی که هکرها سعی کردند 100 بیت کوین پیچیده شده (WBTC) معادل 2.3 میلیون دلار را از پل منتقل کنند.
با کشف مشکل در مورد سوء استفاده های احتمالی بیشتر، فرصت طلبان از این شکاف استفاده کردند، اطلاعات تراکنش هکر را تکرار کردند، آدرس اصلی را به آدرس خود تغییر دادند و با موفقیت پول را برداشت کردند.
اکسپلویت این زمان به راحتی قابل تکرار است، که توضیح می دهد که چرا سریع ترین و پر هرج و مرج ترین حمله است.
هر کسی در Discord پروژه می تواند به سادگی اولین تراکنش مهاجم را کپی کرده و آدرس را تغییر دهد، سپس ارسال از طریق Etherscan را فشار دهد، آنها به طور تصادفی هزار دلار در هر txid دریافت خواهند کرد.
چگونه ممکن است حتی ممکن است اتفاق بیفتد؟
از آنجایی که این حادثه همچنان در حال بررسی است، پروژه هک شده توضیح بیشتری ارائه نکرده است. با این حال، برخی از محققان و کارشناسان رمزارز پاسخ های قابل قبولی را نشان داده اند.
غرب وحشی مالی
به گفته سام سان، محقق پارادایم، این آسیبپذیری ناشی از اشکال دیگری است که توسط واحد حسابرسی قراردادهای هوشمند Quantstamp در اوایل ژوئن کشف و به Nomad گزارش شد.
این پروژه به مشکل دیگر پرداخت، اما در فرآیند انجام این کار، به ریشه 0x000 تغییر کرد، که در نتیجه پیامدهایی رخ داد.
هر تراکنش یک مرحله تأیید (تأیید) را طی می کند تا از معتبر بودن آن اطمینان حاصل شود. و در حالی که Root برای این راستیآزمایی ضروری است، توسعهدهنده در اینجا آن را روی 0x00 گذاشته است و این کد شناسایی ریشه بهطور خودکار از معتبر بودن همه تراکنشها اطمینان میدهد.
تیم Nomad پس از اطلاع از رویداد مربوط به پل توکن Nomad، هشدارهایی صادر کرد.
طبق تاپیک رسمی توئیتر Nomad، پل Nomad به دنبال این حمله بسته شده است. این تیم اعلام کرد که در حال همکاری با نیروی انتظامی برای بررسی بیشتر این رویداد هستند.
برای شوخ طبعی ،
«ما از جعلهایی که به عنوان Nomad ظاهر میشوند و آدرسهای جعلی برای جمعآوری وجوه ارائه میکنند، آگاه هستیم. ما هنوز دستورالعملی برای بازگشت وجوه پل ارائه نکرده ایم. نادیده گرفتن کامهای همه کانالها غیر از کانال رسمی Nomad: @nomadxyz_.
عشایر یک ایده عالی است
Nomad پلی است که امکان انتقال توکن ها را بین بلاک چین های مختلف مانند Avalanche (AVAX)، Ethereum (ETH)، Evmos (EVMOS)، Milkomeda C1 و Moonbeam (GLMR) از طریق سیستم پیام رسانی Nomad می دهد.
این پروتکل دارای طیف گسترده ای از امکانات کاربردی است و می توان از آن برای توسعه برنامه های زنجیره ای متقابل استفاده کرد.
Nomad اخیراً فاش کرد که با موفقیت 22 میلیون دلار از چهرههای پیشرو صنعت از جمله Coinbase Ventures، OpenSea و پنج بازیگر اصلی دیگر در یک سرمایهگذاری اولیه به رهبری Polychain در آوریل جمعآوری کرده است. این بودجه ارزش شرکت را به 225 میلیون دلار رساند.
در مقایسه با حملات علیه پلهای زنجیرهای متقاطع در سال 2021، این حملات در سال جاری به دلیل ماهیت اتصال پل زنجیرهای متقاطع به خود پروژه، VCها و پروژههای مرتبط با پلها آسیب جدی وارد کرد.
این واقعیت که بلاک چین غیرمتمرکز است، دفاع از آن را آسانتر میکند. اما پروتکل ها و نرم افزارها همگی توسط افراد ساخته شده اند، بنابراین ممکن است نقاط ضعفی وجود داشته باشد.
حملات اخیر واقعاً خود پلتفرم بلاک چین را هدف قرار نمی دهند. در عوض، آنها در برنامه های کاربردی هستند مانند بازی ها، کیف پول، مبادلات، و پل ها
اینها اپلیکیشنهای وب و موبایلی هستند که از بلاک چین استفاده میکنند، اما همچنان همان نقصهای امنیتی نرمافزارهای سنتی را دارند، زیرا هنوز هم اپلیکیشنهای وب و موبایل هستند.
از ابتدای سال جاری، چهار پل زنجیره ای متقاطع شامل Wormhole، Ronin، Horizon و Nomad هک شده است. هیچکدام کمتر از 100 میلیون دلار ضرر ندارند.
Cross-chain Bridge قابلیت همکاری بلاک چین را بهبود بخشیده است و در نتیجه تجربه بهتری را برای کاربران و توسعه دهندگان بلاک چین به ارمغان می آورد. با این حال، به دلیل آسیب پذیری های خاص، این پل ها اخیراً هدف محبوب مهاجمان بوده اند.
- بیت کوین
- بلاکچین
- انطباق با بلاک چین
- کنفرانس بلاکچین
- Blockonomi
- coinbase
- coingenius
- اجماع
- کنفرانس رمزنگاری
- معدنکاری رمز گشایی
- کریپتو کارنسی (رمز ارزها )
- غیر متمرکز
- DEFI
- دارایی های دیجیتال
- ethereum
- فراگیری ماشین
- رمز غیر قابل شستشو
- افلاطون
- افلاطون آی
- هوش داده افلاطون
- پلاتوبلاک چین
- PlatoData
- بازی پلاتو
- چند ضلعی
- اثبات سهام
- تیم امنیت لاتاری
- W3
- زفیرنت