Le piratage crypto nomade se transforme en vol de masse de 190 millions de dollars
Tout d’abord, le pirate a volé de l’argent. Ensuite, tout le monde s’est joint à la fête.
Ce n’est pas un grand jour pour le projet de crypto-monnaie Nomad, ni pour ses investisseurs de premier plan.
Nomade est un pont inter-chaînes, ce qui signifie qu’il permet aux utilisateurs de transférer des jetons de crypto-monnaie d’une blockchain à une autre. Donc, si vous souhaitez déplacer des ETH, USDC ou WBTC de la blockchain Ethereum vers la blockchain Moonbeam, Nomad le rend aussi simple que quelques clics.
Dans les coulisses, le pont « verrouille » votre argent d’un côté et crache le même montant dans des jetons dits « emballés » de l’autre côté. Au fil du temps, si un pont est populaire, il peut avoir beaucoup de fonds (pensez à des centaines de millions) bloqués dans ses contrats intelligents, et si quelqu’un trouve une faille de sécurité dans ces contrats intelligents, tout ou partie de ces fonds peuvent être volés. Un problème supplémentaire avec les ponts cryptographiques, comme l’a souligné une fois le co-fondateur d’Ethereum Vitalik Buterin, c’est qu’ils sont de par leur conception vulnérables aux attaques des deux côtés.
Dans le cas de Nomad, comme l’a souligné plusieurs experts sur Twitter, il semble qu’un bogue dans son contrat intelligent permettait à quiconque de construire une transaction de crypto-monnaie de manière à envoyer une quantité de crypto d’un côté, mais de recevoir une plus grande quantité de l’autre côté. Oui, vous pouvez littéralement envoyer 0,1 BTC d’un côté et obtenez 100 BTC d’un autre côté.
C’est là que les choses deviennent intéressantes. En règle générale, lorsqu’une faille de sécurité comme celle-ci est découverte, un pirate informatique compétent ou un petit groupe drainera tous les fonds en quelques minutes. Mais cette fois, après que quelqu’un a réussi à voler de l’argent sur le pont Nomad, d’autres se sont joints à eux et ont pris de l’argent pour eux-mêmes.
L’une des raisons pour lesquelles cela était possible était que la faille de sécurité était si flagrante qu’elle ne nécessitait pas beaucoup d’expertise pour se répliquer. En tant que chercheurs en sécurité @samczsun a souligné, « tout ce que vous aviez à faire était de trouver une transaction qui fonctionnait, de trouver/remplacer l’adresse de l’autre personne par la vôtre, puis de la rediffuser », et c’est exactement ce que les gens ont fait. Considérez-le comme l’équivalent cryptographique du pillage de masse, avec une personne brisant la vitrine d’un magasin et des centaines se joignant pour voler ce qu’ils peuvent.
Le mot n’est pas définitif sur le montant total qui a été volé, mais il semble que tous les fonds de Nomad aient été épuisés, et les estimations vont jusqu’à 190 millions de dollars. Un peu de doublure argentée est que, dans le cas de hacks ouverts à tous et très médiatisés comme celui-ci, les pirates au chapeau blanc draineront souvent une partie des fonds afin de les garder en sécurité et de les restituer plus tard, mais c’est difficile à évaluer combien de cela se produisait dans ce cas particulier.
Le tweet a peut-être été supprimé
Nomad, qui, ironiquement, se qualifie de « protocole inter-chaînes axé sur la sécurité » et affirme que son mécanisme nécessite « un acteur honnête pour assurer la sécurité de l’ensemble du système », a déclaré sur Twitter qu’il examinait le piratage. La société a déclaré à CoinDesk il a notifié les forces de l’ordre et que son objectif est « d’identifier les comptes impliqués et de retrouver et récupérer les fonds ». Les utilisateurs ne doivent pas utiliser le pont Nomad au moins jusqu’à ce que le problème soit résolu.
Le tweet a peut-être été supprimé
Moonbeam Network est passé en « mode maintenance » suite au piratage, ce qui signifie que les utilisateurs réguliers n’ont pas pu exécuter de transactions sur le réseau. L’équipe a ramené le réseau après avoir conclu que l’incident de sécurité n’était pas lié à la base de code Moonbeam.
Le piratage Nomad n’est pas le seul ou même le plus grand piratage de crypto-monnaie de l’histoire ; en mars 2022, plus d’un demi-milliard de dollars ont été volés à Ronin, et en juin 2022, 100 millions de dollars ont été volés à Harmony.
Nomad est remarquable pour être un pont très populaire sur les réseaux Moonbeam et Evmos, et pour avoir reçu un tour de table de 22,4 millions de dollars il y a quelques jours à peine, les investisseurs étant des sociétés de premier plan telles que Coinbase, OpenSea et Crypto.com.
