Den 2 augusti antydde Nomad bridge att den var medveten om den pågående exploateringen. Timmar senare kom nyheten att hela protokollets medel på över 190 miljoner dollar tvättades bort. För den oinvigde är Nomad-bron en symbolbro för överföringar mellan Ethereum, Avalanche, Moonbeam och Milkmeda.
Samczsun, en kryptogemenskapsutvecklare, beskrev hacken som "ett av de mest kaotiska hack som Web3 bevittnar." Krypto-tjuvarna hade ingen teknisk kunskap, varför det var kaotiskt, förklarade utvecklaren. De krävde bara en transaktion som fungerar. Nästa sak var att sätta sin egen adress i stället för måladressen. En tweet som delas i ETH-säkerhetstelegramkanalen visade flera transaktioner av medel som bearbetades från bron. På ytan verkade det vara en felaktig konfiguration i symboliska decimaler.
Men efter att manuellt utvärdera Moonbeam-nätverket fick Samczsun reda på att Ethereum-transaktionen överbryggade 100 WBTC på något sätt medan Moonbeam-transaktionen gjorde det. bro ut 0.01 WBTC. Denna exploatering var unik i termer av att transaktionerna utfördes direkt och inte "bevisades". Samczun förklarade vidare att det inte är idealiskt att behandla ett meddelande utan att först bevisa det. Vid ytterligare grävning hittade Samczsun ett fatalt fel i det smarta kontraktet "Replica" som initierades under en rutinmässig Nomad-uppgradering.
Samczsun förklarade vidare att nollhash var markerad som en giltig rot. Som dess effekt är de tillåtande meddelandena förfalskade på Nomad. Angripare utnyttjade dessa kopiera/klistra-transaktioner och tömde snabbt bryggan i en "frenzyd free-for-all".
Nomad fick också tag på de falska adresserna som försökte stjäla pengarna som återfördes till bron. På bara några timmar sjönk TVL of Nomad från $190.38 miljoner till $5,336 XNUMX, enligt data från DeFiLama. Nomad är det senaste tillskottet i listan över högprofilerade bedrifter crypto projekt inklusive Harmony, Wormhole och Ronin bridge.
Källa: https://www.thecoinrepublic.com/2022/08/02/heres-how-nomad-bridge-lost-190m-in-another-high-profile-crypto-exploits/