Op 2 augustus liet Nomad Bridge doorschemeren dat het op de hoogte was van het lopende misbruik. Uren later kwam het nieuws dat de fondsen van het volledige protocol van meer dan $ 190 miljoen waren weggespoeld. Voor niet-ingewijden is Nomad bridge een symbolische brug voor cross-chains transfers tussen Ethereum, Avalanche, Moonbeam en Milkmeda.
Samczsun, een ontwikkelaar van crypto-gemeenschappen, beschreef de hacks als "een van de meest chaotische hacks waarvan Web3 getuige is geweest." De Crypto-dieven hadden geen technische kennis, daarom was het chaotisch, legde de ontwikkelaar uit. Ze hadden alleen een transactie nodig die werkt. Het volgende ding was om hun eigen adres in plaats van het doeladres te plaatsen. Een tweet die werd gedeeld in het ETH-beveiligingstelegramkanaal toonde meerdere transacties van fondsen die via de brug waren verwerkt. Op het eerste gezicht leek het een verkeerde configuratie in token decimalen.
Maar na het handmatig evalueren van het Moonbeam-netwerk, ontdekte Samczsun dat de Ethereum-transactie op de een of andere manier 100 WBTC overbrugde, terwijl de Moonbeam-transactie dat deed brug uit 0.01 WBTC. Uniek aan deze exploit was dat de transacties direct werden uitgevoerd en niet 'bewezen'. Samczun legde verder uit dat het niet ideaal is om een bericht te verwerken zonder het eerst te bewijzen. Bij verder graven vond Samczsun een fatale fout in het 'Replica' slimme contract dat werd geïnitialiseerd tijdens een routinematige Nomad-upgrade.
Samczsun legde verder uit dat de nul-hash was gemarkeerd als een geldige root. Als gevolg hiervan worden de toegestane berichten vervalst op Nomad. Aanvallers maakten gebruik van deze kopieer- en plaktransacties en putten de brug snel uit in een "waanzinnige free-for-all".
Nomad kreeg ook de valse adressen die probeerden het geld te stelen dat naar de brug was teruggekeerd. In slechts een paar uur tijd daalde de TVL van Nomad van $ 190.38 miljoen naar $ 5,336, volgens de gegevens van DeFiLama. Nomad is de nieuwste toevoeging in de lijst met spraakmakende exploits van crypto projecten waaronder Harmony, Wormhole en Ronin bridge.
Bron: https://www.thecoinrepublic.com/2022/08/02/heres-how-nomad-bridge-lost-190m-in-another-high-profile-crypto-exploits/