2. august antydet Nomad bridge at den var klar over den pågående utnyttelsen. Timer senere kom nyheten om at hele protokollens midler på over 190 millioner dollar ble vasket av. For de uinnvidde er Nomad-broen en symbolbro for overføringer på tvers av kjeder mellom Ethereum, Avalanche, Moonbeam og Milkmeda.
Samczsun, en kryptosamfunnsutvikler, beskrev hackene som "en av de mest kaotiske hackene Web3 har sett." Krypto-tyvene hadde ingen teknisk kunnskap, og derfor var det kaotisk, forklarte utvikleren. De krevde bare en transaksjon som fungerer. Det neste var å sette sin egen adresse i stedet for måladressen. En tweet delt i ETH-sikkerhetstelegramkanalen viste flere transaksjoner av midler som ble behandlet ut av broen. På overflaten så det ut til å være en feilkonfigurasjon i token desimaler.
Men etter å ha evaluert Moonbeam-nettverket manuelt, fant Samczsun ut at Ethereum-transaksjonen koblet 100 WBTC på noen måter mens Moonbeam-transaksjonen gjorde det. bro ut 0.01 WBTC. Denne utnyttelsen var unik i form av at transaksjonene ble utført direkte og ikke "bevist". Samczun forklarte videre at det ikke er ideelt å behandle en melding uten først å bevise den. Ved videre graving fant Samczsun en fatal feil i "Replica" smartkontrakten som ble initialisert under en rutinemessig Nomad-oppgradering.
Samczsun forklarte videre at null-hashen ble merket som en gyldig rot. Som dens effekt er de tillate meldingene forfalsket på Nomad. Angripere benyttet seg av disse kopier/lim inn-transaksjonene og tømte raskt ut broen i en «vanvittig fri-for-alle».
Nomad fikk også tak i de falske adressene som forsøkte å stjele midlene som ble returnert til broen. På bare noen få timer falt TVL of Nomad fra 190.38 millioner dollar til 5,336 dollar, ifølge dataene fra DeFiLama. Nomad er det siste tilskuddet på listen over høyprofilerte utnyttelser av krypto prosjekter inkludert Harmony, Wormhole og Ronin bridge.
Kilde: https://www.thecoinrepublic.com/2022/08/02/heres-how-nomad-bridge-lost-190m-in-another-high-profile-crypto-exploits/