Augusztus 2-án a Nomád híd arra utalt, hogy tudomása van a folyamatban lévő kizsákmányolásról. Órákkal később jött a hír, hogy a teljes protokoll több mint 190 millió dolláros alapját lemosták. Az avatatlanok számára a Nomád híd egy jelképes híd az Ethereum, az Avalanche, a Moonbeam és a Milkmeda közötti láncok közötti átvitelhez.
Samczsun, egy kriptográfiai közösség fejlesztője a feltöréseket „az egyik legkaotikusabb feltörésnek, aminek a Web3 tanúja volt”. A kriptotolvajoknak semmiféle technikai tudásuk nem volt, ezért volt kaotikus – magyarázta a fejlesztő. Csak egy működő tranzakcióra volt szükségük. A következő dolog az volt, hogy a célcím helyére a saját címüket tették. Az ETH biztonsági távirati csatornán megosztott tweet a hídon keresztül több pénzeszköz-tranzakciót mutatott be. A felszínen úgy tűnt, hogy a tizedesjegyek hibás konfigurációja.
De miután manuálisan kiértékelte a Moonbeam hálózatot, Samczsun rájött, hogy az Ethereum-tranzakció valamilyen módon áthidalta a 100 WBTC-t, míg a Moonbeam-tranzakció igen. híd ki 0.01 WBTC. Ez az exploit egyedülálló volt abból a szempontból, hogy a tranzakciókat közvetlenül hajtották végre, és nem „bizonyították”. Samczun kifejtette továbbá, hogy nem ideális az üzenet feldolgozása anélkül, hogy azt először bizonyította volna. A további ásatás során Samczsun végzetes hibát talált a „Replica” intelligens szerződésben, amelyet egy rutin Nomad frissítés során inicializáltak.
Samczsun kifejtette továbbá, hogy a nulla hash érvényes gyökérként van megjelölve. Ennek eredményeként az engedélyező üzeneteket meghamisítják a Nomadon. A támadók kihasználták ezt a másolási/beillesztési tranzakciót, és gyorsan kimerítették a hidat egy „mindenkinek őrjöngő ingyenességében”.
Nomad a hamis címeket is megszerezte, és megpróbálta ellopni a hídra visszaküldött pénzt. A DeFiLama adatai szerint néhány óra leforgása alatt a Nomad TVL-je 190.38 millió dollárról 5,336 dollárra esett. A Nomad a legújabb tag a nagy horderejű kihasználások listáján crypto projektek, köztük a Harmony, a Wormhole és a Ronin-híd.
Forrás: https://www.thecoinrepublic.com/2022/08/02/heres-how-nomad-bridge-lost-190m-in-another-high-profile-crypto-exploits/