Le protocole de messagerie inter-chaînes Nomad est devenu la cible de la dernière attaque à neuf chiffres de la cryptographie après que des pirates ont abusé d’un exploit de sécurité “chaotique” pour voler près de 200 millions de dollars d’actifs numériques.
Nomad, un pont de jetons qui permet aux utilisateurs d’envoyer et de recevoir des jetons entre les chaînes de blocs Avalanche (AVAX), Ethereum (ETH), Evmos (EVMOS), Moonbeam (GLMR) et Milkomeda C1, a été attaqué lundi, les pirates vidant presque tout le fonds du protocole.
Environ 190,7 millions de dollars en crypto ont été volés sur le pont, selon la plateforme de suivi financier décentralisé DeFi Llama, qui montre que la valeur totale actuelle verrouillée – le montant des fonds des utilisateurs déposés dans un protocole DeFi – est inférieure à 12 000 $ au moment de la rédaction.
Nomad n’a pas encore confirmé comment les pirates ont pu voler les fonds. Mais selon Samczsun, responsable de la sécurité de la société d’investissement Web3 Paradigm, une récente mise à jour de l’un des contrats intelligents de Nomad a permis aux utilisateurs d’usurper facilement les transactions. Cela signifiait que lorsqu’un utilisateur transférait des fonds d’une blockchain à une autre, Nomad n’aurait jamais vérifié le montant, permettant à l’utilisateur de retirer des fonds qui ne lui appartenaient pas. Par exemple, un utilisateur pourrait envoyer 1 ETH, puis appeler manuellement le contrat intelligent sur l’autre blockchain pour recevoir 100 ETH. La société d’audit Blockchain Zellic est également parvenue à la même conclusion.
“C’est comme utiliser un chéquier pour retirer des fonds d’une banque, et la banque ne vérifie pas si nous détenons réellement suffisamment d’argent”, a déclaré Adrian Hetman, responsable technique de l’équipe de triage du programme web3 bug bounty Immunefi, à TechCrunch. “Ils se soucient seulement que le chèque lui-même semble valide.”
12/ tl;dr une mise à niveau de routine a marqué le hachage zéro comme une racine valide, ce qui a eu pour effet de permettre aux messages d’être usurpés sur Nomad. Les attaquants en ont abusé pour copier/coller des transactions et ont rapidement vidé le pont dans un free-for-all frénétique
– samczsun (@samczsun) 2 août 2022
Samczun explique que, contrairement à la plupart des attaques de pont où un seul coupable est derrière l’ensemble de l’exploit, l’attaque “chaotique” de Nomad était une mêlée générale dans laquelle les opportunistes affluaient pour voler des fonds du pont une fois que le mot avait circulé, entraînant ce que le chercheur décrit comme un « libre pour tous frénétique ». La société de sécurité Blockchain Peckshield a déclaré que plus de 41 adresses avaient drainé 152 millions de dollars, soit 80% des fonds volés.
« Tout ce qui était nécessaire pour l’exploiter était de copier la transaction du pirate d’origine et de changer l’adresse d’origine en une adresse personnalisée. Copier-coller simple », a ajouté Hetman.
L’incident a affecté Wrapped Ether (WETH), USD Coin (USDC), WBTC et d’autres jetons qui ont été drainés du pont.
TechCrunch a contacté Nomad mais n’a pas encore reçu de réponse. Cependant, la société s’est adressée à Twitter pour mettre en garde contre les imitateurs essayant de collecter des fonds. “Nous avons connaissance d’imitateurs se faisant passer pour Nomad et fournissant des adresses frauduleuses pour collecter des fonds”, a-t-il déclaré. «Nous ne fournissons pas encore d’instructions pour restituer les fonds relais. Ignorez les communications de tous les canaux autres que le canal officiel de Nomad. »
Dans un tweet séparé, Nomad a confirmé avoir informé les forces de l’ordre et retenu les services de sociétés leaders pour le renseignement et la criminalistique de la blockchain dans le but “d’identifier les comptes impliqués et de retracer et récupérer les fonds”.
L’attaque survient quelques jours seulement après que Nomad a révélé qu’un certain nombre d’investisseurs cryptographiques de premier plan, dont Coinbase Ventures, OpenSea, Polygon et Crypto.com Capital, avaient participé à son tour de table de 22 millions de dollars en avril, qui a valu à la société une valorisation de 225 millions de dollars.
“Chez Nomad, notre objectif est de rendre plus sûre la communication à travers les blockchains”, a déclaré Nomad la semaine dernière. “Nous pensons que la messagerie sécurisée entre chaînes est la clé pour unir les écosystèmes DeFi et libérer la véritable puissance et le potentiel de l’espace de bloc, où qu’il se trouve.”
L’attaque Nomad est la dernière d’une série d’incidents très médiatisés qui ont remis en question la sécurité des ponts inter-chaînes. Le pont Ronin d’Axie Infinity a perdu plus de 600 millions de dollars dans un piratage en avril de cette année et le pont Horizon d’Harmony a été vidé de 100 millions de dollars en juin.