Comme en témoigne son homonyme, il n’y avait apparemment pas beaucoup de sécurité pour empêcher une horde d’étrangers errants de s’introduire dans le Nomad DEFJe projette le pont symbolique, permettant à des centaines de pirates inconnus et à certains utilisateurs de repartir avec plus de 190 millions de dollars de crypto, laissant derrière eux une somme dérisoire dans le portefeuille du projet.
Tard lundi, les utilisateurs ont commencé à remarquer que des jetons étaient extraits des comptes de Nomad « par tranches d’un million de dollars.” La société de sécurité cryptographique CertiK a confirmé dans une analyse mardi que le protocole de pont, qui permet aux utilisateurs d’envoyer des jetons entre des chaînes de blocs distinctes, avait été violé grâce à une mise à niveau de routine qui permettait aux mauvais acteurs d’ignorer les messages de vérification. Coin Telegraph signalé que la première transaction, probablement le pirate initial, a réussi à supprimer environ 2,3 millions de dollars en crypto du pont.
Apparemment, cette brèche a permis à d’autres utilisateurs d’exploiter le pont, le transformant essentiellement en un Black Friday-esque gratuit pour tous. L’analyse de CertiK a en outre indiqué que la vulnérabilité résidait dans le processus d’initialisation du pont à jetons, introduit dans la mise à niveau défectueuse, permettant aux utilisateurs de copier et coller le numéro de transaction des pirates d’origine et de le remplacer par un numéro personnel. Les chercheurs ont déclaré qu’en seulement quatre heures, d’autres pirates, robots et même des membres de la communauté avaient vidé le protocole dans une « foule frénétique ».
Le développeur de crypto qui passe par Foobar sur Twitter a écrit que cette attaque était « le premier pillage décentralisé d’un pont à 9 chiffres de l’histoire ». Il y a des centaines d’adresses qui montrent qu’elles ont reçu des jetons du pont pendant l’exploit.
Certains utilisateurs sont en fait revenus au protocole, baissant la tête de honte et proposant de restituer les fonds volés. Certains ont affirmé que c’était « un accident », tandis que d’autres ont dit qu’ils essayaient de protéger leur ami ‘s, selon les captures d’écran publiées par Foobar. DéfiLlama montre que la valeur actuelle de la blockchain se situe à un peu moins de 16 000 $.
D’autres qui ont déclaré avoir drainé des fonds ont affirmé qu’ils étaient des « whitehackers » essayant de protéger la crypto et attendent de retourner les fondsbien que Gizmodo n’ait pu vérifier aucun de ces supposés whitehacker’s revendications, ni combien de fonds ces acteurs de bonne foi ont tenté d’économiser. Un représentant de Nomad a déclaré à Cointelegraph qu’il était reconnaissant envers « de nombreux » pirates blancs qui ont protégé des fonds.
De son côté, Nomade écrit sur Twitter il s’agissait de « travailler 24 heures sur 24 pour remédier à la situation ». Les développeurs ont déclaré avoir contacté les forces de l’ordre pendant qu’ils travaillaient pour « identifier les comptes impliqués et pour retrouver et récupérer les fonds ». Cette le bogue logiciel apparent n’est pas un bon coup d’oeil quand dans le passé, l’entreprise exalté son croyance en un «la sécurité d’abord, l’avenir inter-chaînes.”
Bien sûr, Nomad avait été un chouchou de la crypto envestors il y a quelques mois à peine, gagner 22 millions de dollars lors d’un tour de table dirigé par le crypto-investisseur Polychain Capital.
Ce n’est pas le seul pont à être piraté cette année. Le Ronin Bridge, utilisé par les développeurs du jeu play-to-earn Axie Infinity, a été piraté pour près de 625 millions de dollars plus tôt cette année. Des pirates informatiques auraient pu exploiter le réseau en contactant un développeur sur LinkedIn et, après plusieurs séries d’entretiens, lui ont proposé une fausse offre d’emploi PDF contenant des logiciels malveillants, permettant d’accéder à son ordinateur. Malgré les efforts pour restituer la crypto volée des utilisateurs et restaurer le pontils n’ont pas encore entièrement restauré les anciens utilisateurs trust dans leurs systèmes.
