Les pirates informatiques drainent près de 200 millions de dollars de la startup crypto Nomad

Les pirates ont drainé près de 200 millions de dollars en crypto-monnaie de Nomad, un outil qui permet aux utilisateurs d'échanger des jetons d'une blockchain à une autre, dans une autre attaque mettant en évidence les faiblesses de l'espace financier décentralisé.

Nomad a reconnu l'exploit dans un tweet lundi soir.

"Nous sommes au courant de l'incident impliquant le pont de jetons Nomad", a déclaré la startup. "Nous enquêtons actuellement et fournirons des mises à jour lorsque nous les aurons."

On ne sait pas tout à fait comment l'attaque a été orchestrée, ou si Nomad prévoit de rembourser les utilisateurs qui ont perdu des jetons lors de l'attaque. La société, qui se présente comme un service de "messagerie inter-chaînes sécurisée", n'était pas immédiatement disponible pour commenter lorsqu'elle a été contactée par CNBC.

Les experts en sécurité de la blockchain ont décrit l'exploit comme un "gratuit pour tous". Toute personne connaissant l'exploit et son fonctionnement pourrait saisir la faille et retirer une quantité de jetons de Nomad - un peu comme un distributeur de billets crachant de l'argent en appuyant simplement sur un bouton.

Cela a commencé par une mise à jour du code de Nomad. Une partie du code était marquée comme valide chaque fois que les utilisateurs décidaient d'initier un transfert, ce qui permettait aux voleurs de retirer plus d'actifs que ceux déposés sur la plateforme. Une fois que d'autres attaquants ont compris ce qui se passait, ils ont déployé des armées de bots pour mener des attaques de copie.

"Sans expérience préalable en programmation, n'importe quel utilisateur pourrait simplement copier les données d'appel de transaction des attaquants d'origine et remplacer l'adresse par la leur pour exploiter le protocole", a déclaré Victor Young, fondateur et architecte en chef de la startup crypto Analog.

"Contrairement aux attaques précédentes, le piratage Nomad est devenu un jeu gratuit où plusieurs utilisateurs ont commencé à drainer le réseau en rejouant simplement les données d'appel de transaction des attaquants d'origine."

Sam Sun, partenaire de recherche de la société d'investissement axée sur la cryptographie Paradigm, décrit l'exploit comme "l'un des hacks les plus chaotiques que Web3 ait jamais vu" - Web3 étant une future itération hypothétique d'Internet construite autour de la technologie blockchain.

Nomad est ce qu'on appelle un "pont", un outil qui permet aux utilisateurs d'échanger des jetons et des informations entre différents réseaux cryptographiques. Ils sont utilisés comme une alternative pour effectuer des transactions directement sur une blockchain comme Ethereum, ce qui peut facturer aux utilisateurs des frais de traitement élevés lorsqu'il y a beaucoup d'activités simultanées.

Des cas de vulnérabilités et une mauvaise conception ont fait des ponts une cible de choix pour les pirates cherchant à escroquer des millions d'investisseurs. Plus d'un milliard de dollars d'actifs cryptographiques ont été volés grâce à des exploits de pont jusqu'à présent en 1, selon un rapport de la société de conformité cryptographique Elliptic.

En avril, un pont blockchain appelé Ronin a été exploité dans un Braquage de crypto de 600 millions de dollars, que les responsables américains ont depuis attribué à l'État nord-coréen. Quelques mois plus tard, Harmony, un autre pont, a été vidé de 100 millions de dollars lors d'une attaque similaire.

Comme Ronin et Harmony, Nomad a été ciblé par une faille dans son code – mais il y avait quelques différences. Grâce à ces attaques, les pirates ont pu récupérer les clés privées nécessaires pour prendre le contrôle du réseau et commencer à déplacer les jetons. Dans le cas de Nomad, c'était beaucoup plus simple que cela. Une mise à jour de routine du pont a permis aux utilisateurs de falsifier des transactions et de s'en tirer avec des millions de crypto.