- L'incident Nomad est le troisième plus gros piratage de crypto-monnaie de l'année, derrière Wormhole et Ronin
- Environ 41 adresses ont siphonné la crypto-monnaie du protocole
Le pont de jetons Nomad a subi un "free-for-all frénétique" après que des attaquants aient attaqué le protocole pour plus de 190 millions de dollars en crypto-monnaie.
Nomad, qui s'est présenté comme une plate-forme "de sécurité avant tout" pour l'envoi de jetons ERC-20 entre des chaînes de blocs compatibles, a confirmé le raid dans un tweet du mardi matin.
L'incident diffère des autres hacks à grande échelle visant à paralyser les ponts symboliques cette année. Les ponts de jetons permettent aux utilisateurs de chiffrement de transférer des actifs numériques sur des réseaux en les verrouillant d'abord dans un contrat intelligent.
Le pont émet ensuite un jeton dérivé, un "actif enveloppé", de l'autre côté, avec leurs valeurs soutenues par leurs dépôts d'origine. Nomad prend en charge Ethereum, Avalanche, Evmos et Moonbeam.
Le piratage de Wormhole en février a vu des attaquants exploiter un code de contrat intelligent bogué pour se frapper 320 millions de dollars en Wrapped Ether sans publier la garantie requise.
L'attaque du pont Axie Infinite Ronin, révélée en mars, impliquait une campagne de phishing de plusieurs mois pour acquérir des clés privées associées à son portefeuille multisig, qui a entraîné le vol d'environ 625 millions de dollars en crypto (les deux incidents évalués au moment de l'attaque).
Mais Sam Sun, responsable de la sécurité de la société d'investissement dans les actifs numériques Paradigm, a expliqué dans un fil Twitter que les voleurs de Nomad n'avaient pas besoin de savoir quoi que ce soit sur le langage de programmation Ethereum Solidity pour s'en tirer avec des garanties d'utilisateur.
Le pirate de Rari Capital est revenu pour attaquer Nomad
Les développeurs de Nomad avaient accidentellement poussé une mise à jour de routine qui indiquait au protocole de traiter toute transaction avec le hachage racine par défaut de "0x00", où généralement les réseaux blockchain nécessitent une racine unique et spécifique comme preuve que la transaction est valide.
Cela signifiait que Nomad approuverait effectivement toute transaction soumise au protocole. Après qu'un attaquant a réalisé et lancé d'importants transferts illicites, d'autres utilisateurs ont simplement copié-collé leur script de transaction et remplacé l'adresse du destinataire par la leur, a expliqué Victor Young, architecte en chef du réseau d'interopérabilité Analog.
Pour Young, l'un des principaux avantages des plates-formes de contrats intelligents, comme celles qui alimentent Nomad, est qu'il s'agit de systèmes complets de Turing. Ils peuvent calculer "pratiquement tout ce qu'un ordinateur numérique moderne peut faire d'un point de vue mathématique", a déclaré Young.
"Malheureusement, cela introduit des vecteurs d'attaque innombrables et inconnus qui ouvrent le contrat intelligent aux hacks", a déclaré Young à Blockworks. "Lorsque vous combinez cela avec des développeurs laxistes qui ne parviennent pas à mettre en œuvre un ensemble robuste de mécanismes de test, vous obtenez l'effondrement ridicule auquel nous assistons actuellement."
Source : https://blockworks.co/nomad-token-bridge-raided-for-190m-in-frenzied-free-for-all/