- L'incident Nomad est le troisième plus gros piratage de crypto-monnaie de l'année, derrière Wormhole et Ronin
- Environ 41 adresses ont siphonné la crypto-monnaie du protocole
Le pont de jetons Nomad a subi un "free-for-all frénétique" après que des attaquants aient attaqué le protocole pour plus de 190 millions de dollars en crypto-monnaie.
Nomad, qui s'est présenté comme une plate-forme "de sécurité avant tout" pour l'envoi de jetons ERC-20 entre des chaînes de blocs compatibles, a confirmé le raid dans un tweet du mardi matin.
L'incident diffère des autres hacks à grande échelle visant à paralyser les ponts symboliques cette année. Les ponts de jetons permettent aux utilisateurs de chiffrement de transférer des actifs numériques sur des réseaux en les verrouillant d'abord dans un contrat intelligent.
Le pont émet ensuite un jeton dérivé, un "actif enveloppé", de l'autre côté, avec leurs valeurs soutenues par leurs dépôts d'origine. Nomad prend en charge Ethereum, Avalanche, Evmos et Moonbeam.
Le piratage de Wormhole en février a vu des attaquants exploiter un code de contrat intelligent bogué pour se frapper 320 millions de dollars en Wrapped Ether sans publier la garantie requise.
L'attaque du pont Axie Infinite Ronin, révélée en mars, impliquait une campagne de phishing de plusieurs mois pour acquérir des clés privées associées à son portefeuille multisig, qui a entraîné le vol d'environ 625 millions de dollars en crypto (les deux incidents évalués au moment de l'attaque).
Mais Sam Sun, responsable de la sécurité de la société d'investissement dans les actifs numériques Paradigm, a expliqué dans un fil Twitter que les voleurs de Nomad n'avaient pas besoin de savoir quoi que ce soit sur le langage de programmation Ethereum Solidity pour s'en tirer avec des garanties d'utilisateur.
Le pirate de Rari Capital est revenu pour attaquer Nomad
Les développeurs de Nomad avaient accidentellement poussé une mise à jour de routine qui indiquait au protocole de traiter toute transaction avec le hachage racine par défaut de "0x00", où généralement les réseaux blockchain nécessitent une racine unique et spécifique comme preuve que la transaction est valide.
Cela signifiait que Nomad approuverait effectivement toute transaction soumise au protocole. Après qu'un attaquant a réalisé et lancé d'importants transferts illicites, d'autres utilisateurs ont simplement copié-collé leur script de transaction et remplacé l'adresse du destinataire par la leur, a expliqué Victor Young, architecte en chef du réseau d'interopérabilité Analog.
Pour Young, l'un des principaux avantages des plates-formes de contrats intelligents, comme celles qui alimentent Nomad, est qu'il s'agit de systèmes complets de Turing. Ils peuvent calculer "pratiquement tout ce qu'un ordinateur numérique moderne peut faire d'un point de vue mathématique", a déclaré Young.
"Malheureusement, cela introduit des vecteurs d'attaque innombrables et inconnus qui ouvrent le contrat intelligent aux hacks", a déclaré Young à Blockworks. "Lorsque vous combinez cela avec des développeurs laxistes qui ne parviennent pas à mettre en œuvre un ensemble robuste de mécanismes de test, vous obtenez l'effondrement ridicule auquel nous assistons actuellement."
Young a prescrit d'autres tests de bout en bout sur d'autres plates-formes de blockchain et des audits de code répétés pour aider à atténuer le risque que cela se produise ailleurs.
La société de sécurité blockchain PeckShield rapporté environ 41 adresses avaient attaqué Nomad, un mélange de Wrapped Bitcoin et Wrapped Ether aux côtés des stablecoins DAI et USDC.
Notamment, la même adresse associée au Rari Capital entaille fin avril aurait dérobé 3.4 millions de dollars en crypto-monnaie. Il reste moins de 12,000 190 dollars dans les contrats intelligents de Nomad, contre plus de XNUMX millions de dollars avant le raid, par Lama DeFi.
L'incident Nomad est désormais le troisième plus gros piratage de l'année, derrière Wormhole et Ronin. On ne sait pas quelle est la prochaine étape pour l'entreprise.
Wormhole et les équipes d'Axie Infinite ont levé du capital-risque dans le but de rendre leurs utilisateurs et leurs protocoles entiers après leurs hacks respectifs. Blockworks a contacté Nomad pour en savoir plus sur leurs plans.
Recevez chaque soir les meilleures nouvelles et informations cryptographiques de la journée dans votre boîte de réception. Abonnez-vous à la newsletter gratuite de Blockworks maintenant.
Source : https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/