Kripto para piyasası ayı piyasasına girdikten sonra son zamanlarda sadece saldırı haberleri gelmeye başladı. Son saldırıların hedefi ise blok zinciri ağları arasında köprü görevini üstlenen platform, Nomad Bridge oldu.
Platformda yaşanan saldırı sonrasında en az 150 milyon dolarlık WETH ve WBTC çekimi yapıldı. Saldırının tam ayrıntıları paylaşılmadı ancak platform saldırı hakkında açıklama yaptı.
Nomad ekibi Twitter üzerinden yaptığı paylaşımda şunları açıkladı:
“Yaşanan siber saldırının farkındayız. Ve konuyla ilişkili olarak çalışmalarımızı sürdürüyoruz. Güncel bilgileri sizlerle paylaşıyor olacağız.”
Saldırganlar Popüler Köprüleri Hedef Alıyor
Bilindiği üzere son zamanlar saldırıların hedefi popüler köprüler oluyor. DeFi protokolü Inverse Finance ve Axie Infinity’nin Ronin köprüsü ile Harmony köprüsü yakın zamanda siber saldırıya uğrayarak büyük kayıplar yaşamıştı. Saldırganların bu seferki hedefi ise Nomad köprüsü oldu.
Yaşanan bu siber saldırı sonrası foobar isimli bir Twitter kullanıcısı takipçilerine şu şekilde uyarılarda bulundu:
Nomad bridge getting actively hacked. WETH and WBTC being taken out in million-dollar increments. Withdraw all funds if you can, still $126m remaining in the contract that's likely at risk pic.twitter.com/oDo7oT1glW
— foobar (@0xfoobar) August 1, 2022
“Ronin köprüsü saldırıya uğradı. Milyon dolarlık WETH ve WBTC çıkışı gerçekleşiyor. Eğer mümkünse tüm paranızı platformdan çekin. İçeride hala 126 milyon dolar gözüküyor.”
Muhabbit Kurucusu Squanch da Nomad’in saldırıya uğraması ve olası sonuçları hakkında Twitter üzerinden paylaşım yaptı:
Gece gece aksiyon @nomadxyz_ hacklendi.@MoonbeamNetwork ün main köprüsü olduğu için ağı durdurdular.
— Squanch🔺 (@bit_gossip) August 1, 2022
Bir başka kullanıcı ise saldırının nasıl olduğunu yapılan işlemleri araştırarak anlattı. Samczsun adlı kullanıcı yaptığı paylaşımlarda saldırının ayrıntılarını paylaştı.
Paylaşımlarda Moonbeam’den yapılan 0.01 WBTC’lik işlemin bir şekilde Ethereum üzerinden 100 WBTC olarak köprülendiği ortaya çıktı.
Kullanıcını yaptığı daha derin araştırmalar sonucunda, düzenli güncellemeler sonrasında Nomad takımının kontrol yapmak için her mesajı otomatik olarak onaylayan bir dizi değer girdiği ortaya çıkıyor.
10/ It turns out that during a routine upgrade, the Nomad team initialized the trusted root to be 0x00. To be clear, using zero values as initialization values is a common practice. Unfortunately, in this case it had a tiny side effect of auto-proving every message pic.twitter.com/fA3XbNW9qT
— samczsun (@samczsun) August 2, 2022
Kullanıcı yapılan saldırı için Solidity veya Merkle Trees yazılım dillerinin bilinmesinin gerekmediğini sadece işleyen bir işlemin bulunması gerektiğini vurguladı. Bulanan işlemde diğer kişilerin cüzdan adresi yerine sizinkini girerek tekrardan işleme soktuğunuzda kontrol edilmeden işleme alındındığı ortaya çıktı. Saldırganlar işlemleri kopyala yapıştır yöntemiyle tekrarlayarak kısa sürede köprü platformunu boşalttı.
Bahsedilen güncellemenin 42 gün önce yapıldığı belirtildi. Ancak açığın yeni bulunduğu ortaya çıktı.
