Pada tanggal 2 Agustus, Nomad bridge mengisyaratkan bahwa mereka mengetahui eksploitasi yang sedang berlangsung. Beberapa jam kemudian datang berita bahwa dana protokol lengkap lebih dari $ 190 Juta terhapus. Untuk yang belum tahu, jembatan Nomad adalah jembatan token untuk transfer lintas rantai antara Ethereum, Avalanche, Moonbeam dan Milkmeda.
Samczsun, seorang pengembang komunitas crypto, menggambarkan peretasan tersebut sebagai “salah satu peretasan paling kacau yang disaksikan oleh Web3.” Pencuri Crypto tidak memiliki pengetahuan teknis, itulah sebabnya kacau, pengembang menjelaskan. Mereka hanya membutuhkan transaksi yang berhasil. Hal berikutnya adalah untuk menempatkan alamat mereka sendiri di tempat alamat target. Sebuah tweet yang dibagikan di saluran telegram keamanan ETH menunjukkan beberapa transaksi dana diproses di luar jembatan. Di permukaan tampaknya ada kesalahan konfigurasi dalam desimal token.
Tetapi setelah mengevaluasi jaringan Moonbeam secara manual, Samczsun menemukan bahwa transaksi Ethereum menjembatani 100 WBTC melalui beberapa cara sementara transaksi Moonbeam melakukannya. jembatan keluar 0.01 WBTC. Eksploitasi ini unik karena transaksi dilakukan secara langsung dan tidak 'terbukti'. Lebih lanjut Samczun menjelaskan bahwa tidak ideal untuk memproses pesan tanpa terlebih dahulu membuktikannya. Pada penggalian lebih lanjut, Samczsun menemukan kesalahan fatal dalam kontrak pintar 'Replika' yang diinisialisasi selama peningkatan rutin Nomad.
Samczsun lebih lanjut menjelaskan bahwa hash nol ditandai sebagai root yang valid. Akibatnya, pesan yang diizinkan dipalsukan di Nomad. Penyerang mengambil keuntungan dari transaksi salin/tempel ini dan dengan cepat menghabiskan jembatan dalam "kegilaan gratis untuk semua".
Nomad juga mendapatkan alamat palsu yang mencoba mencuri dana yang dikembalikan ke jembatan. Hanya dalam beberapa jam, TVL Nomad turun dari $ 190.38 juta menjadi $ 5,336, sesuai data dari DeFiLama. Nomad adalah tambahan terbaru dalam daftar eksploitasi profil tinggi kripto proyek termasuk Harmony, Wormhole dan jembatan Ronin.
Sumber: https://www.thecoinrepublic.com/2022/08/02/heres-how-nomad-bridge-lost-190m-in-another-high-profile-crypto-exploits/