Lundi, plus de 190 millions de dollars ont été détournés du pont de crypto-monnaies Nomad, dans ce qui est décrit comme l’un des piratages les plus curieux de l’histoire de la DeFi.
Ce qui s’est passé
Le 1er août, les acteurs du marché ont observé que des millions de dollars ont été drainés de l’adresse du contrat Nomad.
2/ It all started when @officer_cia shared @spreekaway‘s tweet in the ETHSecurity Telegram channel. Although I had no idea what was going on at the time, just the sheer volume of assets leaving the bridge was clearly a bad sign pic.twitter.com/klHNfthVvj
— samczsun (@samczsun) August 1, 2022
Les données de DeFi Llama montrent que plus de 190 millions de dollars d’Ethereum (CRYPTO:ETH) et autres jetons avaient été retirés de la valeur totale bloquée (TVL) du pont.
From $190,740,000 to $1,794 in hours
But it wasn’t a flashloan, or even carried out by a single group
After an initial attacker struck, hundreds of separate accounts figured out the trick and copypasta-ed their way into grabbing stolen funds pic.twitter.com/ef0A9djdnf
— foobar (@0xfoobar) August 2, 2022
« Un aspect déconcertant de cette vulnérabilité était que tout ce que les utilisateurs devaient faire pour pirater les fonds du pont était de copier les données de transaction du pirate, de remplacer l’adresse originale par une adresse personnelle, et le tx réussirait !» a écrit le vérificateur du code de protocole DeFi foobar sur Twitter. « Aussi simple que CTRL-C, CTRL-V ».
Un certain nombre d’utilisateurs qui ont reproduit l’exploit, s’emparant de fonds volés, se sont publiquement manifestés pour rendre les jetons. Selon foobar, la fonction vulnérable du processus permettant le piratage était bien en évidence dans le rapport d’audit de Nomad lui-même.
We are aware of the incident involving the Nomad token bridge. We are currently investigating and will provide updates when we have them.
— Nomad () (@nomadxyz_) August 1, 2022
L’équipe du système a déclaré qu’elle était au courant de la compromission du pont et qu’elle enquêtait actuellement sur cette faille.
Plus tôt cette année, Nomad avait levé 22 millions de dollars auprès d’investisseurs dirigés par Polychain Capital au nom de « l’interopérabilité axée sur la sécurité ».
Le tour de table a vu la participation d’investisseurs de premier plan comme la branche capital-risque d’AT&T Inc (NYSE:T).
Nomad a également attiré des capitaux providentiels de Coinbase Global Inc (NASDAQ:COIN) et des fondations derrière les blokchains Polkadot et Avalanche.