На 2 август Nomad bridge намекна, че е наясно с продължаващия експлойт. Часове по-късно дойде новината, че средствата на пълния протокол от над $190 милиона са измити. За непосветените Nomad bridge е символичен мост за междуверижни трансфери между Ethereum, Avalanche, Moonbeam и Milkmeda.
Samczsun, разработчик на крипто общност, описа хаковете като „един от най-хаотичните хакове, наблюдавани от Web3“. Крадците на Crypto нямаха никакви технически познания, поради което беше хаотично, обясни разработчикът. Те изискваха само транзакция, която работи. Следващото нещо беше да поставят собствения си адрес на мястото на целевия адрес. Туит, споделен в телеграмния канал за сигурност на ETH, показва множество транзакции на средства, обработени извън моста. На пръв поглед изглеждаше грешна конфигурация в символичните десетични знаци.
Но след ръчна оценка на мрежата Moonbeam, Samczsun откри, че транзакцията на Ethereum е преодоляла 100 WBTC по някакъв начин, докато транзакцията на Moonbeam го направи мост излиза 0.01 WBTC. Този експлойт беше уникален по отношение на това, че транзакциите бяха изпълнени директно, а не „доказани“. Samczun допълнително обясни, че не е идеално да се обработва съобщение, без първо да се докаже. При по-нататъшно копаене Samczsun откри фатален пропуск в интелигентния договор „Replica“, който беше инициализиран по време на рутинно надграждане на Nomad.
Samczsun допълнително обясни, че нулевият хеш е маркиран като валиден корен. Като резултат разрешаващите съобщения се подправят на Nomad. Нападателите се възползваха от тези транзакции за копиране/поставяне и бързо изчерпаха моста в „безумно безплатно за всички“.
Nomad също се сдоби с фалшивите адреси, опитвайки се да открадне средствата, върнати на моста. Само за период от няколко часа TVL на Nomad спадна от $190.38 милиона до $5,336, според данните от DeFiLama. Nomad е най-новото попълнение в списъка с високопоставени подвизи на крипто проекти, включително Harmony, Wormhole и Ronin bridge.
Източник: https://www.thecoinrepublic.com/2022/08/02/heres-how-nomad-bridge-lost-190m-in-another-high-profile-crypto-exploits/