Στις 2 Αυγούστου, η γέφυρα Nomad άφησε να εννοηθεί ότι γνώριζε τη συνεχιζόμενη εκμετάλλευση. Ώρες αργότερα ήρθε η είδηση ότι τα κεφάλαια του πλήρους πρωτοκόλλου άνω των 190 εκατομμυρίων δολαρίων ξεπλύθηκαν. Για τους μη μυημένους, η γέφυρα Nomad είναι μια συμβολική γέφυρα για διασταυρούμενες μεταφορές μεταξύ των Ethereum, Avalanche, Moonbeam και Milkmeda.
Ο Samczsun, ένας προγραμματιστής της κοινότητας κρυπτογράφησης, περιέγραψε τις εισβολές ως «ένα από τα πιο χαοτικά hack που έχει δει το Web3». Οι κλέφτες Crypto δεν είχαν τεχνικές γνώσεις, γι' αυτό ήταν χαοτικό, εξήγησε ο προγραμματιστής. Απαιτούσαν μόνο μια συναλλαγή που λειτουργεί. Το επόμενο πράγμα ήταν να βάλουν τη δική τους διεύθυνση στη θέση της διεύθυνσης στόχου. Ένα tweet που κοινοποιήθηκε στο τηλεγραφικό κανάλι ασφαλείας ETH έδειξε πολλαπλές συναλλαγές κεφαλαίων που υποβλήθηκαν σε επεξεργασία εκτός της γέφυρας. Επιφανειακά φαινόταν ότι ήταν μια εσφαλμένη διαμόρφωση σε συμβολικά δεκαδικά.
Αλλά αφού αξιολόγησε με μη αυτόματο τρόπο το δίκτυο Moonbeam, ο Samczsun ανακάλυψε ότι η συναλλαγή Ethereum γεφύρωσε 100 WBTC με κάποιους τρόπους, ενώ η συναλλαγή Moonbeam έκανε γέφυρα από 0.01 WBTC. Αυτό το exploit ήταν μοναδικό από την άποψη ότι οι συναλλαγές εκτελούνταν απευθείας και δεν «αποδεικνύονταν». Ο Samczun εξήγησε περαιτέρω ότι δεν είναι ιδανικό να επεξεργαστείτε ένα μήνυμα χωρίς να το αποδείξετε πρώτα. Σε περαιτέρω σκάψιμο, ο Samczsun βρήκε ένα μοιραίο ελάττωμα στο έξυπνο συμβόλαιο «Replica» που αρχικοποιήθηκε κατά τη διάρκεια μιας τακτικής αναβάθμισης του Nomad.
Ο Samczsun εξήγησε περαιτέρω ότι το μηδενικό κατακερματισμό επισημάνθηκε ως έγκυρη ρίζα. Ως αποτέλεσμα, τα επιτρεπόμενα μηνύματα παραποιούνται στο Nomad. Οι επιτιθέμενοι εκμεταλλεύτηκαν αυτές τις συναλλαγές αντιγραφής/επικόλλησης και εξάντλησαν γρήγορα τη γέφυρα σε ένα «ξέφρενο ελεύθερο για όλους».
Το Nomad κατέλαβε επίσης τις ψεύτικες διευθύνσεις προσπαθώντας να κλέψει τα χρήματα που επιστράφηκαν στη γέφυρα. Μέσα σε λίγες μόνο ώρες, το TVL του Nomad έπεσε από 190.38 εκατομμύρια δολάρια σε 5,336 δολάρια, σύμφωνα με τα στοιχεία του DeFiLama. Το Nomad είναι η τελευταία προσθήκη στη λίστα με τα υψηλού προφίλ κατορθώματα του κρυπτο έργα όπως το Harmony, το Wormhole και η γέφυρα Ronin.
Πηγή: https://www.thecoinrepublic.com/2022/08/02/heres-how-nomad-bridge-lost-190m-in-another-high-profile-crypto-exploits/