2 月 190 日,Nomad bridge 暗示它知道正在進行的漏洞利用。 幾個小時後,消息傳出,整個協議超過 XNUMX 億美元的資金被沖走。 對於初學者來說,Nomad 橋是以太坊、Avalanche、Moonbeam 和 Milkmeda 之間跨鏈轉移的代幣橋。
加密社區開發人員 Samczsun 將這些黑客行為描述為“Web3 見證的最混亂的黑客行為之一”。 開發人員解釋說,加密竊賊沒有任何技術知識,這就是它混亂的原因。 他們只需要一個有效的交易。 接下來的事情是用自己的地址代替目標地址。 在 ETH 安全電報頻道中分享的一條推文顯示,在橋外處理的多筆資金交易。 從表面上看,這似乎是令牌小數的錯誤配置。
但在手動評估 Moonbeam 網絡後,Samczsun 發現以太坊交易通過某種方式橋接了 100 WBTC,而 Moonbeam 交易確實 橋 0.01 WBTC。 這個漏洞利用是獨一無二的,因為交易是直接執行的,而不是“證明”的。 Samczun 進一步解釋說,在沒有首先證明的情況下處理消息並不理想。 在進一步挖掘中,Samczsun 在常規 Nomad 升級期間初始化的“副本”智能合約中發現了一個致命缺陷。
Samczsun 進一步解釋說,零散列被標記為有效根。 作為其效果,允許消息在 Nomad 上被欺騙。 攻擊者利用這種複制/粘貼交易,在“瘋狂的混戰”中迅速耗盡了橋樑。
Nomad 還掌握了假地址,試圖竊取返還給橋的資金。 根據 DeFiLama 的數據,在短短幾個小時內,Nomad 的 TVL 從 190.38 億美元跌至 5,336 美元。 Nomad 是高調漏洞利用列表中的最新成員 加密 包括 Harmony、Wormhole 和 Ronin 橋在內的項目。
資料來源:https://www.thecoinrepublic.com/2022/08/02/heres-how-nomad-bridge-lost-190m-in-another-high-profile-crypto-exploits/