2 августа Nomad bridge намекнул, что знает о продолжающемся эксплойте. Через несколько часов пришло известие о том, что средства полного протокола в размере более 190 миллионов долларов были смыты. Для непосвященных: мост Nomad — это токен-мост для межсетевых переводов между Ethereum, Avalanche, Moonbeam и Milkmeda.
Samczsun, разработчик криптосообщества, описал взломы как «один из самых хаотичных взломов, свидетелем которых стал Web3». По словам разработчика, у крипто-воров не было никаких технических знаний, поэтому все было хаотично. Им нужна только транзакция, которая работает. Следующим шагом было поставить свой собственный адрес вместо целевого адреса. Твит, опубликованный в телеграм-канале безопасности ETH, показал несколько транзакций средств, обработанных вне моста. На первый взгляд это казалось неправильной конфигурацией десятичных знаков токена.
Но после ручной оценки сети Moonbeam Самчсун обнаружил, что транзакция Ethereum каким-то образом объединила 100 WBTC, в то время как транзакция Moonbeam сделала это. мост из 0.01 WBTC. Этот эксплойт был уникальным с точки зрения того, что транзакции выполнялись напрямую, а не «доказывались». Далее Самчун объяснил, что обработка сообщения без предварительного подтверждения не идеальна. При дальнейшем раскопках Самчсун обнаружил фатальную ошибку в смарт-контракте «Реплика», который был инициализирован во время обычного обновления Nomad.
Samczsun также пояснил, что нулевой хэш был помечен как действительный корень. В результате разрешительные сообщения подделываются на Nomad. Злоумышленники воспользовались этой транзакцией копирования/вставки и быстро истощили мост в «бешеной всеобщей свободе».
Номад также завладел поддельными адресами, пытаясь украсть средства, возвращенные на мост. Согласно данным DeFiLama, всего за несколько часов TVL Nomad упал со 190.38 млн долларов до 5,336 долларов. Nomad — последнее дополнение в списке громких эксплойтов крипто- проекты, включая Harmony, Wormhole и Ronin bridge.
Источник: https://www.thecoinrepublic.com/2022/08/02/heres-how-nomad-bridge-lost-190m-in-another-high-profile-crypto-exploits/