Aujourd'hui, le pont Nomad a été exploité pour 190 millions de dollars, ce qui en fait le quatrième plus grand piratage DeFi de l'histoire. Il est également surnommé le « premier piratage décentralisé », les utilisateurs récupérant des fonds par un simple copier-coller. Voici le détail de ce qui s'est passé. 👇
1. Nomad est un pont inter-chaînes permettant des transferts d'actifs entre Ethereum, Avalanche, Moonbeam, Evmos et Milkomeda. Aujourd'hui, il a été piraté pour 190 millions de dollars, ce qui a entraîné une chute de sa TVL, passant de 190 millions de dollars à seulement 12 401 dollars.
2. L'analyse de l'incident par @CertiK a examiné le code original et a révélé qu'une mise à niveau de routine permettait de contourner les messages de vérification sur Nomad. Les attaquants ont exploité cette situation pour copier/coller des trax.com/CertiKAlert/st… pont avant d'intervenir.
3. Cette explication technique de @samczsun résume bien la situation : le « committedRoot » a été défini sur zéro, ce qui signifie que les attaquants ont pu contourner le processus de vérification des messages.
4. Une fois que l'attaquant initial a identifié l'exploit, les utilisateurs ont sauté dans le train en marche en copiant et collant essentiellement le code d'origine avec lx.com/FatManTerra/st…e portefeuille.
5. @0xfoobar l'a qualifié de « premier pillage participatif décentralisé ».
6. Le piratage a été mené par plusieurs parties sans affiliation directe.
7. Curieusement, les pirates informatiques n'étaient apparemment pas compétents et, s'ils l'avaient voulu, ils auraient pu voler tous lex.com/Mudit__Gupta/s…ansaction.
8. Plusieurs pirates informatiques « white hat » sont intervenus et ont volé des fonds pour protéger les actifs de Nomad. Bien que la proportion de pirates informatiques blancs et noirs ne soit pas clairement étabx.com/PeckShieldAler… de la décomposer :
9. Étrangement, la réponse initiale de Nomad n'a pas abordé le problème fondamental et a plutôt décidé de se concentrer sur un x.com/nomadxyz_/stat….
10. Plus tard, ils ont publié une mise à jour officielle, indiquant qu'ils « travaillent 24 heures sur 24 pour résoudre la situation ».
11. Au cours des 12 derniers mois, plus de 1,3 milliard de dollars ont été volés aux ponts. Cela met clairement en évidence la vulnérabilité fondamentale des ponts en cryptomonnaie et la nécessité d'écosystèmes interopérables et natifs, résistants aux exploits.
12. On nous rappelle sans cesse ces défauts, comme l'a souligné de manière célèbre (et peut-être prophétique) @VitalikButerin il y a 6 mois sur le forum $ETH :