اخبار بلاکچین

بررسی هک Nomad، یکی از بزرگترین پرونده‌های هک بلاک چین اتریوم

هکرهای کلاه سفید توکن هایی به ارزش ۳۲.۶ میلیون دلار را به پل Nomad برگرداندند

پل متقاطع زنجیره ای در کمتر از سه ساعت از دارایی های خود تخلیه شد.

آلتکوین هایی که در هک پل Nomad به سرقت رفتند، پس از اکسپلویت، تا ۹۴ درصد کاهش قیمت داشتند.

هک پل توکن Nomad در ۲ آگوست ۲۰۲۲ از حیث بزرگی، چهارمین هک بلاک چین اتریوم در تاریخ بود که نزدیک به ۲۰۰ میلیون دلار دارایی ارزهای دیجیتال را از این پلتفرم تخلیه کرد. با این حال، بیشتر از هک، روش شناسی دلایل پشت پرده‌ آن توجه گسترده ای را به خود جلب کرده است.

تنها چند ساعت پس از اینکه پل توکن Nomad هفته گذشته آدرس کیف پول اتریوم را برای بازگرداندن وجوه پس از هک ۱۹۰ میلیون دلاری منتشر کرد، هکرهای Whitehat از آن زمان تقریباً ۳۲.۶ میلیون دلار وجوه را پس داده اند. اکثریت قریب به اتفاق وجوه متشکل از استیبل کوین‌های USD Coin (USDC)، Tether (USDT) و Frax به همراه آلت‌کوین‌ها بود.

طبق تحقیقات منتشر شده توسط پل هافمن از BestBrokers، آسیب پذیری پروتکل Nomad در ممیزی اخیر Nomad توسط Quantstamp در ۶ ژوئن برجسته شد و به عنوان “خطر کم” شناخته شد. به محض کشف این اکسپلویت، اعضای عمومی با کپی پیست تراکنش هک اولیه که شبیه به “سرقت غیرمتمرکز” بود، به حمله پیوستند. بیش از ۱۹۰ میلیون دلار ارز دیجیتال در کمتر از سه ساعت از Nomad خارج شد.

📌 مقاله مرتبط:

برای آشنایی بیشتر با موضوع، پیشنهاد می شود این مقاله را نیز مطالعه بفرمایید: کاربرد بلاک چین

هک بلاک چین اتریوم  Nomad کی و چگونه انجام شد؟

این هک بلاک چین اتریوم تنها چهار ماه پس از جمع آوری ۲۲.۴ میلیون دلاری پروژه در ماه آوریل انجام شد. همانطور که هافمن گفته است، این حمله از یک ریشه مرکل که اشتباهاً مقداردهی اولیه شده است، استفاده کرده است، که در ارزهای دیجیتال استفاده می شود تا اطمینان حاصل شود که بلوک های داده ارسال شده از طریق شبکه همتا به همتا کامل و بدون تغییر هستند. یک خطای برنامه‌نویسی به طور خودکار معتبر بودن هر پیام تراکنش را ثابت می‌کند.

با این حال، همه شرکت کنندگان در سرقت از فرصت استفاده نکردند. تقریباً بلافاصله پس از شروع هک، هکرهای Whitehat همان هش تراکنش را کپی کردند تا هکر اصلی را برای بازگرداندن ایمن خود برداشت کنند. برعکس، یک هکر ظاهراً از نام دامنه اتریوم خود برای شستشوی وجوه دزدیده شده استفاده کرده است که منجر به امکان تأیید متقابل با اطلاعات Know-Your-Customer نیز با استفاده از دامنه می شود.

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا