Le bridge cross-chain Nomad subit un hack massif de presque 200 millions de dollars
Nouveau hack dans l'univers des bridge cross-chain : Nomad a subi l'exploitation d'une faille présente sur ses smart contracts, aboutissant au drainage de 190 millions de dollars, soit la quasi-totalité de sa valeur totale verrouillée (TVL). Certaines personnes ont toutefois utilisé la faille pour retirer le maximum de fonds afin de les protéger, se disant prêts à les renvoyer dès que possible.
Catastrophe pour le bridge cross-chain Nomad
Une faille d'ampleur a été utilisée massivement cette nuit, aboutissant au drainage de plus de 190 millions de dollars sur le bridge cross-chain Nomad, qui permet d'échanger des tokens entre Ethereum (ETH), Avalanche (AVAX), Moonbeam (GLMR), Milkomeda C1 et Evmos.
La quasi-totalité des fonds a ainsi été vidée du bridge de façon fulgurante, comme le démontre ce graphique issu des données disponibles sur DefiLlama :
Valeur totale verrouillée (TVL) sur le bridge Nomad
Selon les données on-chain, la première transaction frauduleuse aurait permis à un utilisateur du bridge de retirer 100 wBTC, lesquels valaient 2,3 millions dollars à ce moment-là. La faille s'est ainsi peu à peu ébruitée, permettant à n'importe qui de retirer plusieurs fois un montant identique suite à une faille dans les smart contracts.
Par chance, certaines personnes ont pu se démarquer en retirant un maximum de fonds avant de déclarer qu'ils avaient agi en tant que whitehat afin de protéger les fonds en question, et qu'ils les retourneraient dès lors qu'une adresse de destination fiable leur serait fournie, comme le prouve cette transaction.
? Pour tout comprendre : Qu'est-ce qu'un bridge (pont) pour cryptomonnaies et comment ça fonctionne ?
Recevez un bonus de 50 € en créant un compte sur Bitpanda 🐼 !Les dessous de l'exploit
Selon un post mortem établi par @samczsun, chercheur chez Paradigm, la faille serait directement issue d'une mise à jour des smart contracts du bridge Nomad.
1/ Nomad just got drained for over $150M in one of the most chaotic hacks that Web3 has ever seen. How exactly did this happen, and what was the root cause? Allow me to take you behind the scenes 👇 pic.twitter.com/Y7Q3fZ7ezm
— samczsun (@samczsun) August 1, 2022
Lorsqu'un token est transféré via un bridge, celui-ci est verrouillé sur un smart contract avant d'être redistribué sous forme enveloppée (wrapped).
Dans le cas de figure qui nous intéresse ici, la faille située dans le smart contract a permis à des utilisateurs de retirer des fonds qui ne leur appartenaient pas. De façon très simplifiée, une erreur de code dans le smart contract permettait à toutes les transactions d'être validées de façon automatisée et d'être répétées en boucle.
Voici pourquoi cette faille a permis d'être exploitée de façon très large et surtout par quasiment n'importe qui, car très peu de manipulations étaient nécessaires.
Cet événement rappelle une fois de plus l'exposition particulière des protocoles cross-chain, très souvent impliqués dans des hacks conséquents, dont les répercussions se développent mécaniquement vers d'autres acteurs. Ici par exemple, l'équipe de la blockchain Evmos a indiqué que ce hack avait sensiblement impacté sa TVL.
Avec un montant de plus de 190 millions de dollars, cette faille constitue le 5e hack le plus important de l'histoire des cryptomonnaies, juste derrière celui de Bitmart qui s'élevait alors à 196 millions de dollars au mois d'avril 2021.
? À lire également : Hack d’Horizon Bridge - Harmony (ONE) propose un hard fork pour rembourser les victimes
Le livre de Cryptoast pour tout comprendre aux cryptosSource : DefiLlama
Recevez un récapitulatif de l'actualité crypto chaque jour par mail 👌
Ce qu’il faut savoir sur les liens d’affiliation. Cette page peut présenter des actifs, des produits ou des services relatifs aux investissements. Certains liens présents dans cet article peuvent être affiliés. Cela signifie que si vous achetez un produit ou que vous vous inscrivez sur un site depuis cet article, notre partenaire nous reverse une commission. Cela nous permet de continuer à vous proposer des contenus originaux et utiles. Il n'y a aucune incidence vous concernant et vous pouvez même obtenir un bonus en utilisant nos liens.
Les investissements dans les crypto-monnaies sont risqués. Cryptoast n'est pas responsable de la qualité des produits ou services présentés sur cette page et ne pourrait être tenu responsable, directement ou indirectement, par tout dommage ou perte causé suite à l'utilisation d'un bien ou service mis en avant dans cet article. Les investissements liés aux crypto-actifs sont risqués par nature, les lecteurs doivent faire leurs propres recherches avant d'entreprendre toute action et n’investir que dans les limites de leurs capacités financières. Cet article ne constitue pas un conseil en investissement.
Recommandations de l'AMF. Il n’existe pas de rendement élevé garanti, un produit présentant un potentiel de rendement élevé implique un risque élevé. Cette prise de risque doit être en adéquation avec votre projet, votre horizon de placement et votre capacité à perdre une partie de cette épargne. N’investissez pas si vous n’êtes pas prêt à perdre tout ou partie de votre capital.
Pour aller plus loin, lisez nos pages Situation Financière, Transparence du Média et Mentions Légales.