Nomad : 190 millions envolés suite à un hack du bridge

Nomad hack bridge

Nouvelles victimes dans la DeFi avec le hack du bridge Nomad

Durant la nuit du 1er au 2 août, 190 millions de dollars ont été dérobés suite au hack du bridge Nomad. Des enquêteurs du Web 3.0 ont investigué et c’est une faille dans le smart contact utilisé par le protocole qui est mis en cause.

Sommaire :

190 millions de $ subtilisés sur le bridge multi-chain Nomad

Nomad est un outil de la DeFi qui permet de déplacer des fonds d’une blockchain à une autre. Ce protocole est un pont multi-chain, il permet de transférer des actifs de 5 blockchains différentes entre elles: Avalanche, Ethereum, Moonbeam, Milkomeda C1 et Evmos.

Autour de 23h30, heure française, l’utilisateur @spreekaway a publié un tweet annonçant des mouvements suspects sur le bridge et en quelques heures, 190 millions de $ de WBTC, de ETH, de USDC et une dizaine d’autres cryptos ont été extraite de la plateforme

La cyberattaque a pour originalité d’avoir été commise par une quarantaine d’individus. En effet, après la découverte de la faille par le premier attaquant, celle-ci s’est ébruitée et des dizaines d’autres personnes l’ont utilisée. Fait surprenant, elle a été publiée sur le GitHub de Nomad, donc disponible à la vue de tous, lors d’un audit de sécurité du contrat ! 

D’après l’entreprise Peckshield, 41 adresses ont participé à l’attaque. Parmi elles, on recense 7 bots MEV qui ont récupéré 7,1 millions de $, 6 white hats qui ont récupéré 8,2 millions de $ dans le but de les restituer et 27 adresses de hacker, inconnu pour la plupart, qui ont récupéré 130 millions de $.

Un simple oublie à l’origine du hack

Après les premiers soupçons de siphonnage, le hack du bridge Nomad a été confirmé sur le Twitter officiel. Les enquêteurs 3.0 ont alors commencé leurs recherches. C’est un chercheur de la société de capital-risque Paradigm qui a expliqué sur twitter le déroulement de l’attaque dans un thread.

Samczsun a constaté que les transactions sortantes du bridge avaient en commun l’utilisation de la fonction « process() ».

Celle-ci fonctionne de la sorte:

  • Elle vérifie d’abord que le domaine du message est correct. C’est-à-dire qu’une transaction signée pour un réseau est bien destinée à celui-ci.
  • Elle vérifie que le message a bien été prouvé par la bonne personne.
  • Elle demande au gestionnaire de faire ce que le message dit de faire. Donc, envoyer les tokens de l’adresse de d’origine à l’adresse de destination.

Il est normalement impossible d’effectuer 2 fois la même requête car les fonds ne peuvent être retirés 2 fois. Cependant, lors de la dernière mise à jour du contrat, les développeurs ont initialisé la racine de confiance à 0x00. Il suffisait d’insérer la valeur 0x00 comme preuve que le transfert était valide.

Cela permettait de recevoir bien plus de fonds que ce qui était initialement envoyé. Il suffisait d’envoyer 0,01 WBTC d’une blockchain et de demander à recevoir 100 WBTC sur une seconde, en insérant cette valeur comme preuve de validité, et la transaction était acceptée.

Les lourdes conséquences de l’attaque de Nomad

Les attaques de bridges possédant une importante valeur totale bloquée (TVL) peuvent avoir de lourdes répercussions sur les blockchains touchées. D’autant plus que celles concernées sont de plus petite taille comme Moonbeam ou Evmos. Cette dernière a d’ailleurs fait savoir sur Twitter que ce vol a « impacté significativement » sa TVL.

De plus, Moonbeam a mis en pause sa blockchain pour un motif de « maintenance » durant 4h, le temps d’investiguer. Cette centralisation, utile au vu des circonstances, risque d’entacher son image décentralisée et trustless.

Enfin, les fonds volés par les adresses inconnues ne seront probablement jamais récupérés. En effet, la multiplicité des acteurs complique les tentatives de négociations de la part de l’équipe du projet. Néanmoins, une légère partie de la trésorerie a été sauvée par des « White Hat ». Cela pourrait permettre une indemnisation partielle des fournisseurs de liquidités.

Après les vols records sur Ronin ou Wormhole, ce dernier hack du bridge Nomad pose de réels questions quant à leur sécurité. Le fondateur de Ethereum, Vitalik Buterin, l’avait déclaré lui-même, « l’avenir sera multi-chain, mais il ne sera pas cross-chain: il y a des limites fondamentales à la sécurité des bridges ». Ces protocoles, cible de choix des hackers, pourront-ils encore perdurer malgré un contexte défavorable ?

Partager l'article sur les réseaux sociaux

Auteur

Jeune étudiant qui a commencé à s'impliquer dans l’écosystème crypto en février 2021, je compte me développer et survivre à ce bearmarket en vulgarisant l’actualité des cryptomonnaies permettant au plus grand nombre de s’y intéresser.

Articles similaires