Nomad bridge je 2. kolovoza dao naslutiti da je svjestan eksploatacije koja je u tijeku. Nekoliko sati kasnije stigla je vijest da su kompletna sredstva protokola od preko 190 milijuna dolara oprana. Za neupućene, Nomad bridge je token most za prijenose između Ethereuma, Avalanchea, Moonbeama i Milkmede.
Samczsun, programer kripto zajednice, opisao je hakiranje kao "jedno od najkaotičnijih hakiranja kojima je Web3 svjedočio." Crypto lopovi nisu imali nikakvog tehničkog znanja, zbog čega je bilo kaotično, objasnio je programer. Tražili su samo transakciju koja funkcionira. Sljedeća stvar bila je staviti vlastitu adresu umjesto ciljane adrese. Tweet podijeljen na ETH sigurnosnom telegram kanalu pokazao je višestruke transakcije sredstava obrađenih izvan mosta. Na površini se činilo da je riječ o pogrešnoj konfiguraciji u decimalama tokena.
Ali nakon ručne procjene mreže Moonbeam, Samczsun je otkrio da je Ethereum transakcija premostila 100 WBTC na neki način, dok je Moonbeam transakcija uspjela most van 0.01 WBTC. Ovo iskorištavanje bilo je jedinstveno u smislu da su transakcije izvršene izravno, a ne 'dokazane'. Samczun je dalje objasnio da nije idealno obraditi poruku bez prethodnog dokazivanja. Daljnjim kopanjem, Samczsun je pronašao kobnu grešku u pametnom ugovoru 'Replica' koji je inicijaliziran tijekom rutinske nadogradnje Nomada.
Samczsun je dalje objasnio da je nulti hash označen kao važeći korijen. Posljedica toga je da se dopuštajuće poruke lažiraju na Nomadu. Napadači su iskoristili ove copy/paste transakcije i brzo iscrpili most u "bjesomučnoj besplatnoj akciji".
Nomad se također dokopao lažnih adresa pokušavajući ukrasti sredstva vraćena mostu. U samo nekoliko sati TVL Nomada pao je sa 190.38 milijuna dolara na 5,336 dolara, prema podacima DeFiLame. Nomad je najnoviji dodatak na popisu eksploatacija visokog profila kripto projekti uključujući Harmony, Wormhole i Ronin most.
Izvor: https://www.thecoinrepublic.com/2022/08/02/heres-how-nomad-bridge-lost-190m-in-another-high-profile-crypto-exploits/