2. avgusta je Nomad bridge namignil, da je seznanjen s tekočim izkoriščanjem. Nekaj ur pozneje je prišla novica, da so bila sredstva celotnega protokola v višini več kot 190 milijonov dolarjev odplaknjena. Za nepoznavalce je Nomad bridge žetonski most za navzkrižne prenose med verigami Ethereum, Avalanche, Moonbeam in Milkmeda.
Samczsun, razvijalec kripto skupnosti, je vdore opisal kot "enega najbolj kaotičnih vdorov, ki jim je priča Web3." Tatovi Crypto niso imeli tehničnega znanja, zato je bilo kaotično, je pojasnil razvijalec. Zahtevali so samo transakcijo, ki deluje. Naslednja stvar je bila, da namesto ciljnega naslova postavijo svoj naslov. Tvit, ki je bil deljen v varnostnem telegram kanalu ETH, je pokazal več transakcij sredstev, obdelanih iz mosta. Na prvi pogled se je zdelo, da gre za napačno konfiguracijo v decimalkah žetonov.
Toda po ročni oceni omrežja Moonbeam je Samczsun ugotovil, da je transakcija Ethereum na nek način premostila 100 WBTC, medtem ko je transakcija Moonbeam to storila. most ven 0.01 WBTC. To izkoriščanje je bilo edinstveno v smislu, da so bile transakcije izvedene neposredno in niso bile "dokazane". Samczun je še pojasnil, da ni idealno obdelati sporočila, ne da bi ga prej dokazali. Pri nadaljnjem kopanju je Samczsun našel usodno napako v pametni pogodbi 'Replica', ki je bila inicializirana med rutinsko nadgradnjo Nomad.
Samczsun je nadalje pojasnil, da je bil ničelni hash označen kot veljaven koren. Posledica tega je, da so dovoljena sporočila ponarejena na Nomadu. Napadalci so izkoristili te transakcije kopiraj/prilepi in hitro izčrpali most v "brezplačnem zastonj".
Nomad se je dokopal tudi do lažnih naslovov, ki so poskušali ukrasti sredstva, vrnjena na most. V samo nekaj urah je TVL Nomada padla s 190.38 milijona dolarjev na 5,336 dolarjev, po podatkih DeFiLama. Nomad je najnovejši dodatek na seznamu odmevnih podvigov kripto projekti, vključno z mostom Harmony, Wormhole in Ronin.
Vir: https://www.thecoinrepublic.com/2022/08/02/heres-how-nomad-bridge-lost-190m-in-another-high-profile-crypto-exploits/