2. augustā Nomad tilts deva mājienu, ka ir informēts par notiekošo ekspluatāciju. Dažas stundas vēlāk nāca ziņas, ka visi protokola līdzekļi vairāk nekā 190 miljonu dolāru apmērā ir nomazgāti. Nezinātājiem Nomad tilts ir simbolisks tilts ķēžu pārsūtīšanai starp Ethereum, Avalanche, Moonbeam un Milkmeda.
Kriptokopienas izstrādātājs Samczsun aprakstīja uzlaušanu kā "vienu no haotiskākajiem uzlaušanas gadījumiem, ko pieredzējis Web3". Kripto zagļiem nebija nekādu tehnisko zināšanu, tāpēc tas bija haotisks, skaidroja izstrādātājs. Viņiem bija nepieciešams tikai darījums, kas darbojas. Nākamā lieta bija mērķa adreses vietā ievietot savu adresi. ETH drošības telegrammas kanālā izplatītajā tvītā tika parādīti vairāki no tilta apstrādāti līdzekļu darījumi. Šķiet, ka tā ir nepareiza konfigurācija marķieros aiz komata.
Taču pēc Moonbeam tīkla manuālas novērtēšanas Samczsun uzzināja, ka Ethereum darījums kaut kādā veidā savienoja 100 WBTC, savukārt Moonbeam darījums. tilts ārā 0.01 WBTC. Šī izmantošana bija unikāla ar to, ka darījumi tika veikti tieši, nevis “pierādīti”. Samčuns arī paskaidroja, ka nav ideāli apstrādāt ziņojumu, vispirms to nepierādot. Turpinot rakšanu, Samczsun atklāja liktenīgu trūkumu viedajā līgumā “Replica”, kas tika inicializēts ikdienas Nomad jaunināšanas laikā.
Samčsuns arī paskaidroja, ka nulles hash tika atzīmēts kā derīga sakne. Tā rezultātā atļaujošie ziņojumi tiek viltoti vietnē Nomad. Uzbrucēji izmantoja šo kopēšanas/ielīmēšanas darījumu priekšrocības un ātri izsmēla tiltu "neprātīgā bezmaksas visiem".
Nomads arī ieguva viltotās adreses, mēģinot nozagt tiltam atgrieztos līdzekļus. Saskaņā ar DeFiLama datiem tikai dažu stundu laikā Nomad TVL nokritās no 190.38 miljoniem USD līdz 5,336 USD. Nomad ir jaunākais papildinājums augsta līmeņa varoņdarbu sarakstā šifrēšanas projekti, tostarp Harmony, Wormhole un Ronin tilts.
Avots: https://www.thecoinrepublic.com/2022/08/02/heres-how-nomad-bridge-lost-190m-in-another-high-profile-crypto-exploits/