Am 2. August deutete Nomad Bridge an, dass sie sich des laufenden Exploits bewusst sei. Stunden später kam die Nachricht, dass die gesamten Gelder des Protokolls in Höhe von über 190 Millionen Dollar abgewaschen wurden. Für Uneingeweihte ist Nomad Bridge eine Token-Brücke für Cross-Chain-Transfers zwischen Ethereum, Avalanche, Moonbeam und Milkmeda.
Samczsun, ein Krypto-Community-Entwickler, beschrieb die Hacks als „einen der chaotischsten Hacks, die Web3 erlebt hat“. Die Crypto-Diebe hatten keine technischen Kenntnisse, weshalb es chaotisch war, erklärte der Entwickler. Sie brauchten nur eine Transaktion, die funktioniert. Als nächstes wurde die eigene Adresse anstelle der Zieladresse gesetzt. Ein im ETH-Sicherheitstelegrammkanal geteilter Tweet zeigte mehrere Transaktionen von Geldern, die von der Brücke aus verarbeitet wurden. An der Oberfläche schien es eine Fehlkonfiguration in Token-Dezimalzahlen zu sein.
Aber nach einer manuellen Bewertung des Moonbeam-Netzwerks fand Samczsun heraus, dass die Ethereum-Transaktion 100 WBTC auf irgendeine Weise überbrückt hat, während die Moonbeam-Transaktion dies tat Brücke aus 0.01 WBTC. Dieser Exploit war insofern einzigartig, als die Transaktionen direkt ausgeführt und nicht „bewiesen“ wurden. Samczun erklärte weiter, dass es nicht ideal sei, eine Nachricht zu verarbeiten, ohne sie vorher zu beweisen. Beim weiteren Nachforschen fand Samczsun einen schwerwiegenden Fehler im „Replica“-Smart-Contract, der während eines routinemäßigen Nomad-Upgrades initialisiert wurde.
Samczsun erklärte weiter, dass der Null-Hash als gültiger Stamm markiert wurde. Als Folge werden die zulassenden Nachrichten auf Nomad gefälscht. Angreifer machten sich diese Copy/Paste-Transaktionen zunutze und erschöpften die Brücke schnell in einem „rasenden Free-for-all“.
Nomad bekam auch die gefälschten Adressen in die Hände, die versuchten, die an die Brücke zurückgegebenen Gelder zu stehlen. In nur wenigen Stunden fiel der TVL von Nomad von 190.38 Millionen Dollar auf 5,336 Dollar, wie aus den Daten von DeFiLama hervorgeht. Nomad ist die neueste Ergänzung in der Liste der hochkarätigen Exploits von Krypto Projekte wie Harmony, Wormhole und Ronin Bridge.
Quelle: https://www.thecoinrepublic.com/2022/08/02/heres-how-nomad-bridge-lost-190m-in-another-high-profile-crypto-exploits/