Cette année n’est pas de tout repos pour les bridges, ces fameuses applications qui nous permettent de transférer des actifs d’une chaîne à une autre. Après Ronin, Wormhole, une autre application cross chain vient d’être victime d’un piratage à 190 millions de dollars
Dans un long argumentaire en début d’année, le co-fondateur d’Ethereum, Vitalik Buterin, nous prévenait des dangers liés aux applications cross chains de l’univers de la crypto. Sans lui coller l’étiquette de prophète de malheur, on remarque qu’au cours de cette année, les protocoles bridge sont en train de vivre un enfer.
Quand on cumule l’ensemble des fonds dérobés sur les ponts, le montant dépasse 1 milliard de dollars. Comme si cela ne suffisait pas, dans la nuit du 1er aout, le bridge cross chain de Nomad a subi un hack de près 190 millions de dollars, soit l’équivalent de sa TVL.
Déroulement des faits
Vers 9:32 PM UTC, un hacker a exploité une faille sur le smart contract de Nomad, dérobant ainsi 100 Wrapped Bitcoin (wBTC), équivalent à 2,3 millions de dollars sur le bridge. Ce n’était pourtant là que la goutte d’eau qui allait faire déborder le vase.
D’autres personnes vont ensuite profiter de la faille pour retirer des fonds sur le protocole. En scrutant les données on-chain, on a remarqué que des transactions d’un montant de 202 440,725413 USDC ont été exécutées plus de 200 fois. Au total, les exploiteurs se sont donc emparés de 190,7 millions de dollars sur le protocole. Parmi les autres cryptos volées sur Nomad, on peut citer : Wrapped Ether (WETH), IAGON (IAG), DAI, Frax (FRAX), et Card Starter (CARDS).
Aux alentours de 11:25 PM UTC, les responsables de Nomad ont confirmé les faits et ont rapporté qu’ils allaient enquêter sur l’incident.
La bonne nouvelle pour le Bridge : une partie des fonds a été subtilisée par un White hacker, ou hacker White Hat. Ce dernier a révélé qu’il allait retourner les fonds aux responsables à mesure qu’ils fournissent une adresse de destination fiable.
Nomad : Comment est-on arrivé là?
On rappelle que Nomad est un bridge cross chain qui permet de transférer des actifs provenant des blockchains de l’écosystème d’Ethereum, Moonbeam, Avalanche, Evmos, et Milkomeda C1. Le protocole s’est vanté pendant longtemps d’être un « protocole cross-chain axé sur la sécurité ». Cependant, cet épisode va mettre à nu la sécurité d’une plateforme qui, a posteriori, n’était pas aussi solide qu’elle prétendait.
La principale brèche de Nomad réside d’un bug de son smart contract. Une adresse peut envoyer un certain montant de cryptos vers une autre, mais cette dernière reçoit un montant bien différent de ce qu’a transféré l’expéditeur. Par exemple, un utilisateur peut envoyer 100 USDC mais le destinataire reçoit 100 000 USDC.
Dans un long fil de discussion sur Twitter, où il partage ses idées sur le hack de Nomad, l’expert et chercheur en sécurité de la blockchain, @samczsun s’est dit dépité par la facilité avec laquelle on pouvait exploiter le bridge. Il a ainsi déclaré :
« C’est pourquoi le piratage était si chaotique – vous n’aviez pas besoin de connaître Solidity ou les arbres de Merkle ou quoi que ce soit du genre. Tout ce que vous aviez à faire était de trouver une transaction qui fonctionnait, de trouver/remplacer l’adresse de l’autre personne par la vôtre, puis de la retransmettre. »
Avis de non-responsabilité
Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.