2 sierpnia Nomad bridge zasugerował, że jest świadomy trwającego exploita. Kilka godzin później nadeszła wiadomość, że fundusze całego protokołu wynoszące ponad 190 milionów dolarów zostały zmyte. Dla niewtajemniczonych most Nomad jest mostem tokenowym dla transferów między łańcuchami między Ethereum, Avalanche, Moonbeam i Milkmeda.
Samczsun, twórca społeczności kryptograficznej, opisał włamania jako „jeden z najbardziej chaotycznych włamań obserwowanych przez Web3”. Złodzieje Crypto nie mieli żadnej wiedzy technicznej, dlatego było chaotyczne, wyjaśnił deweloper. Wymagali tylko transakcji, która działa. Następną rzeczą było umieszczenie własnego adresu w miejscu docelowego. Tweet udostępniony w kanale telegramu bezpieczeństwa ETH wykazał wiele transakcji środków przetworzonych poza mostem. Na pierwszy rzut oka wydawało się, że jest to błędna konfiguracja w symbolu dziesiętnym.
Ale po ręcznej ocenie sieci Moonbeam, Samczsun odkrył, że transakcja Ethereum w jakiś sposób połączyła 100 WBTC, podczas gdy transakcja Moonbeam most out 0.01 WBTC. Exploit ten był wyjątkowy, ponieważ transakcje były wykonywane bezpośrednio, a nie „udowodnione”. Samczun wyjaśnił dalej, że nie jest idealnym rozwiązaniem przetwarzanie wiadomości bez uprzedniego jej udowodnienia. Podczas dalszych poszukiwań Samczsun znalazł fatalną wadę w inteligentnym kontrakcie „Replica”, który został zainicjowany podczas rutynowej aktualizacji Nomada.
Samczsun wyjaśnił dalej, że zerowy skrót został oznaczony jako poprawny korzeń. W efekcie wiadomości zezwalające są fałszowane na Nomad. Atakujący wykorzystali tę transakcję kopiuj/wklej i szybko wyczerpali most w „szalonym, wolnym dla wszystkich”.
Nomad zdobył również fałszywe adresy, próbując ukraść fundusze zwrócone na most. W ciągu zaledwie kilku godzin TVL Nomada spadła z 190.38 miliona dolarów do 5,336 XNUMX dolarów, jak wynika z danych DeFiLama. Nomad to najnowszy dodatek na liście głośnych exploitów Crypto projekty, w tym most Harmony, Wormhole i Ronin.
Źródło: https://www.thecoinrepublic.com/2022/08/02/heres-how-nomad-bridge-lost-190m-in-another-high-profile-crypto-exploits/