Crypto Bridge Nomad កេងប្រវ័ញ្ចក្នុងតម្លៃ $190M ក្នុង 'Frenzied Free-for-All'

នៅក្នុងការ hack ដ៏ទូលំទូលាយបំផុតមួយចាប់តាំងពី Axie Infinity's ស្ពាន Ronin Sidechain នៅក្នុងខែមីនា ការកេងប្រវ័ញ្ចលើស្ពាន Nomad token បានអនុញ្ញាតឱ្យអ្នកវាយប្រហារប្លន់ស្ពាននេះក្នុងតម្លៃប្រហែល 190 លានដុល្លារ។

ក្រុមហ៊ុនសន្តិសុខ PeckShield បានប្រាប់ ឌិគ្រីប ថាមូលនិធិដែលលួចត្រូវបានចាត់តាំងនៅក្នុង Ethereum, USDC, DAI, FXS, និង CQT ។

“យើងដឹងពីឧប្បត្តិហេតុដែលទាក់ទងនឹងស្ពាន Nomad token។ បច្ចុប្បន្នយើងកំពុងស៊ើបអង្កេត ហើយនឹងផ្តល់ព័ត៌មានថ្មីៗនៅពេលដែលយើងមានពួកគេ” Nomad tweeted រសៀលថ្ងៃច័ន្ទ។

យើងបានដឹងអំពីឧប្បត្តិហេតុដែលទាក់ទងនឹងស្ពាន Nomad token ។ បច្ចុប្បន្នយើងកំពុងស៊ើបអង្កេត ហើយនឹងផ្តល់ព័ត៌មានថ្មីៗនៅពេលដែលយើងមានពួកគេ។
— Nomad (⤭⛓?) (@nomadxyz_) ខែសីហា 1, 2022

ស្ពាន Nomad គឺជាពិធីការដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ផ្លាស់ទីទ្រព្យសម្បត្តិឌីជីថលរវាង blockchains ផ្សេងៗគ្នា រួមទាំង Avalanche (អេវ៉ាអេច), Ethereum (ETH), Evmos (EVMOS), Milkomeda C1, និង Moonbeam (GLMR)។

តារាងបង្ហាញពីការបាត់បង់តម្លៃសរុបនៅលើ Nomad Protocol ។ — Nomad TVL បានធ្លាក់ចុះដោយសារតែមូលនិធិត្រូវបានដកចេញពីពិធីការ។ រូបភាព៖ ឌីហ្វៃឡាម៉ា.

ខណៈពេលដែលព័ត៌មានលម្អិតពី Nomad គឺខ្វះខាត អ្នកខ្លះបានចង្អុលបង្ហាញពីកំហុសក្នុងការកំណត់រចនាសម្ព័ន្ធនៅក្នុង a កិច្ចសន្យាទំនើប ដែល Nomad ប្រើដើម្បីដំណើរការសារជាមូលហេតុដែលអនុញ្ញាតឱ្យមនុស្សរាប់លាននាក់ត្រូវបានបង្ហូរចេញពីអាងសាច់ប្រាក់ងាយស្រួលរបស់ Nomad ។

លោក Sam Sun អ្នកស្រាវជ្រាវនៅក្រុមហ៊ុនវិនិយោគគ្រីពតូ Paradigm បានសរសេរថា "វាទាំងអស់បានចាប់ផ្តើមនៅពេលដែល @officer_cia បានចែករំលែក tweet របស់ @spreekaway នៅក្នុងបណ្តាញ ETHSecurity Telegram" ។ “ទោះបីខ្ញុំមិនដឹងថាមានរឿងអ្វីកើតឡើងនៅពេលនោះក៏ដោយ ប៉ុន្តែបរិមាណនៃទ្រព្យសម្បត្តិដែលចាកចេញពីស្ពាននេះច្បាស់ណាស់ថាជាសញ្ញាអាក្រក់”។

លោក Sun បានបន្តថា៖ «វាបង្ហាញថាក្នុងអំឡុងពេលធ្វើឱ្យប្រសើរឡើងជាទម្លាប់។ "ក្រុម Nomad បានចាប់ផ្តើមឫសដែលអាចទុកចិត្តបានទៅជា 0x00 ។ ដើម្បីឱ្យច្បាស់ ការប្រើតម្លៃសូន្យជាតម្លៃចាប់ផ្តើមគឺជាការអនុវត្តធម្មតា។ ជាអកុសល ក្នុងករណីនេះ វាមានផលប៉ះពាល់តិចតួចនៃការបង្ហាញរាល់សារដោយស្វ័យប្រវត្តិ។"

ការវាយប្រហារលើស្ពាន Nomad 'ការរំភើបចិត្តដោយសេរីសម្រាប់ទាំងអស់គ្នា'

ស៊ុនបានប្រដូចអ្វីដែលបានកើតឡើងនៅជាប់នឹង "ការសប្បាយដោយសេរីសម្រាប់ទាំងអស់គ្នា" ព្រោះវាយកចំណេះដឹងបច្ចេកទេសតិចតួចដើម្បីទាញយកការកេងប្រវ័ញ្ច។

Sun បានសរសេរថា "អ្នកមិនចាំបាច់ដឹងអំពី Solidity ឬ Merkle Trees ឬអ្វីនោះទេ" Sun បានសរសេរ។ "អ្វីដែលអ្នកត្រូវធ្វើគឺស្វែងរកប្រតិបត្តិការដែលដំណើរការ ស្វែងរក/ជំនួសអាសយដ្ឋានរបស់អ្នកដ៏ទៃជាមួយរបស់អ្នក ហើយបន្ទាប់មកផ្សាយវាឡើងវិញ។"

ដូចគ្នានេះដែរក្រុមហ៊ុនសន្តិសុខ blockchain សញ្ញាប័ត្រ បានរាយការណ៍ថា អ្នកវាយប្រហារអាចទាញយកកំហុសដោយគ្រាន់តែចម្លង និងបិទភ្ជាប់ប្រតិបត្តិការ។ ក្រុមហ៊ុនបានបន្ថែមថាមនុស្សអាចទាញយកការធ្វើឱ្យប្រសើរឡើង "ដោយការចម្លងទិន្នន័យហៅទូរស័ព្ទប្រតិបត្តិការរបស់ពួក Hacker ដើម និងជំនួសអាសយដ្ឋានដើមជាមួយនឹងអាសយដ្ឋានផ្ទាល់ខ្លួន" ។

ពន្យល់ពីការ hack ស្ពាន Nomad ?
ឥណទានទាំងអស់ទៅ @samczsun សម្រាប់ការធ្វើការលើកឡើងយ៉ាងខ្លាំងនៃការធ្វើរោគវិនិច្ឆ័យភាពងាយរងគ្រោះជាក់លាក់នៅក្នុង postmortem របស់គាត់
តើយើងទទួលបានការលួចបន្លំហ្វូងមនុស្សតាមបែបវិមជ្ឈការជាលើកដំបូងក្នុងប្រវត្តិសាស្ត្រដោយរបៀបណា? pic.twitter.com/v5u6mrKQv1
- foobar (@ 0xfoobar) ខែសីហា 2, 2022

ដោយវិធីនេះ ស្ពាននេះត្រូវបានបង្ហូរស្ទើរតែទាំងអស់នៃមូលនិធិរបស់ខ្លួន។

វិស្វករសន្តិសុខ a16z លោក Matt Gleason បានសរសេរថា "ស្ពាន Nomad's ត្រូវបានគ្រប់គ្រងក្នុងលក្ខណៈស្រដៀងគ្នាទៅនឹង QBridge របស់ Qubit" ។ "ការកំណត់រចនាសម្ព័ន្ធមិនមានសុវត្ថិភាពនៃស្ពានបណ្តាលឱ្យផ្លូវជាក់លាក់មួយដើម្បីអនុញ្ញាតឱ្យប្រតិបត្តិការណាមួយដែលបានផ្ញើ។ កំហុសស្ថិតនៅក្នុងមុខងារ 'ដំណើរការ' របស់ចម្លង។

1/ ស្ពាន Nomad's ត្រូវបានគ្រប់គ្រងក្នុងលក្ខណៈស្រដៀងគ្នាទៅនឹង QBridge របស់ Qubit ។ ការកំណត់រចនាសម្ព័ន្ធមិនមានសុវត្ថិភាពនៃស្ពានបណ្តាលឱ្យផ្លូវជាក់លាក់មួយដើម្បីអនុញ្ញាតឱ្យប្រតិបត្តិការណាមួយដែលបានផ្ញើ។ កំហុសស្ថិតនៅក្នុងមុខងារ "ដំណើរការ" របស់កម្មវិធីចម្លង។
— mattgleason.eth (@mg_486662) ខែសីហា 2, 2022

លោកបានបន្ថែមថា “ប្រព័ន្ធនឹងទទួលយកសារណាដែលវាមិនធ្លាប់ឃើញពីមុនមក ហើយដំណើរការវាដូចជាពិត មានន័យថាអ្វីដែលអ្នកត្រូវធ្វើគឺសុំលុយស្ពានទាំងអស់ ហើយអ្នកនឹងទទួលវា”។

នេះបើតាម FTC។ cyberattacks ប្រឆាំងនឹងគម្រោងគ្រីបតូ ហាក់ដូចជាមិនបង្ហាញសញ្ញានៃការថយចុះនោះទេ ដោយមានការលួចគ្រីបតូជាង 1 ពាន់លានដុល្លារចាប់តាំងពីឆ្នាំ 2021។

ស្ថិតនៅលើកំពូលនៃព័ត៌មានគ្រីបតូ ទទួលបានព័ត៌មានថ្មីៗប្រចាំថ្ងៃនៅក្នុងប្រអប់សំបុត្ររបស់អ្នក។

ប្រភព៖ https://decrypt.co/106459/crypto-bridge-nomad-exploited-190m-frenzied-free-for-all